Vie privée en Europe : bientôt le nouveau règlement !
Publié le 16/06/2015 par Etienne Wery , Thierry Léonard
Après trois ans de négociations, les Etats membres et les institutions de l’Union européenne ont atteint un consensus politique sur le nouveau texte du règlement devant remplacer la directive de 1995 sur le traitement des données à caractère personnel, parfois appelée erronément « directive vie privée ».
Un accouchement pénible
Depuis plusieurs années, l’Europe s’est lancée dans un projet consistant à mettre à jour la directive de 1995 sur le traitement des données à caractère personnel, dépassée par les révolutions technologiques de ces 20 dernières années, dont internet est assurément le flambeau.
S’agissant d’une directive, le texte de 1995 avait dû être transposé par chacun des Etats membres tout en laissant une marge de manœuvre parfois appréciable à ceux-ci, ce qui a engendré un certain nombre de divergences entre règles nationales, et des interprétations parfois divergentes du même texte européen initial. Or, les données étant dématérialisées, elles circulent sans cesse sur les réseaux et se fichent pas mal des frontières.
Assez rapidement, un consensus s’est donc dégagé pour remplacer la directive par un règlement européen. La différence est fondamentale : le règlement n’a pas besoin d’être transposé par les états membres. Dès qu’il entre en vigueur, le règlement est « comme » une loi nationale. Cela signifie que le texte que les Etats appliqueront sera rigoureusement identique, à la virgule près, dans tous les Etats. Et cela renforcera aussi le rôle harmonisateur de la Cour de justice de l’UE au niveau de l’interprétation des nouvelles règles.
Voilà pour la forme.
En ce qui concerne le fond, la négociation, qui a pris plusieurs années, a donné lieu à une véritable foire d’empoigne entre les défenseurs du texte et les lobby de tous les grands secteurs économiques (banques, prestataires internet, télécommunications, santé, etc.).
C’est que derrière les règles de fond, se cachent des enjeux économiques d’une part, et sociétaux d’autre part :
· sur le plan économique, chaque fois que les citoyens obtiennent des droits, les entreprises le vivent comme une contrainte. Or, on sait que l’Europe peine à rattraper les États-Unis et l’Asie sur le plan du dynamisme de l’économie numérique, et la volonté politique n’est évidemment pas de mettre des barrières à l’innovation. Il fallait donc trouver un équilibre.
· Sur le plan sociétal, les données à caractère personnel cristallisent les divergences de conception du rapport de l’être humain à la société. Entre l’approche américaine (les données personnelles sont un bien comme un autre, susceptible d’appropriation et de commerce), et la conception française ou allemande (il faut limiter le traitement de ces données sous peine de voir l’être humain perdre le contrôle sur son patrimoine informationnel) … on imagine aisément la difficulté de trouver un consensus.
Le consensus
Dans l’adoption d’un texte comme celui-ci, le compromis est un exercice particulièrement délicat. D’autant plus délicat qu’il s’agit, nous l’avons vu ci-dessus, d’un règlement qui n’aura pas à être transposé dans les Etats membres et qui ne pourra donc pas faire l’objet d’aménagements nationaux.
Cet équilibre nécessite de tenir compte de trois composantes principales :
· la Commission européenne, qui est la gardienne des traités et le moteur législatif européen. Dans la mesure où les commissaires ne sont pas élus, ils ne rendent pas compte devant le peuple et sont donc parfois moins sensibles au côté populaire ou non du texte en discussion ;
· Le Parlement européen, qui est l’émanation des peuples européens. Traditionnellement défenseur des droits individuels, le Parlement est composé de personnes élues qui sont soucieuses de ne pas trop aller à l’encontre de la volonté populaire ;
· le Conseil et les Etats membres, qui est le lobby dans lequel chacun des 28 Etats membres essaye de faire valoir ses principes, intérêts et traditions. Qu’il s’agisse des principaux syndicats, ou des fédérations patronales, c’est au niveau des états membres et du conseil qu’ils interviennent pour peser le plus lourdementpossible dans les décisions.
Mais cette fois, on est au bout du tunnel. Les Etats membres se sont mis d’accord. Et les derniers points de divergences entre les institutions européennes devraient être gommées cet été. La Commission annonce un texte finalisé et adopté en 2015 et a mis sur la table le texte de compromis que nous avons pu nous procurer.
L’orientation générale adoptée ce jour au sujet du règlement sur la protection des données comporte un accord sur les points suivants:
Un continent, un droit
Le règlement établira un corpus unique de règles, valable dans toute l’Union. Les entreprises devront appliquer une législation unique et non plus 28 législations différentes, ce qui leur permettra d’économiser quelque 2,3 milliards d’EUR par an. En outre, la nouvelle réglementation profitera tout particulièrement aux petites et moyennes entreprises (PME), qui verront leurs charges administratives réduites. Les obligations administratives inutiles, comme les obligations de notification qui incombent aux entreprises, seront supprimées: cette seule mesure leur permettra de réaliser une économie de 130 millions d’EUR par an.
Des droits renforcés et étendus
Le droit à l’oubli numérique sera renforcé. Lorsqu’un particulier ne voudra plus que des données le concernant soient traitées (par exemple parce qu’il retire son consentement ou qu’il conteste la nécessité du traitement au regard de la finalité) le responsable du traitement devra supprimer ces données, à moins qu’il ne puisse prouver l’existence d’une exception (par exemple si le traitement est nécessaire à l’exercice de la liberté d’expression et d’information). Les citoyens seront aussi mieux informés en cas de piratage de leurs données. Le droit à la portabilité des données permettra, en outre, aux utilisateurs de transférer plus aisément des données à caractère personnel d’un prestataire de services à un autre.
Des conditions de traitements parfois facilitées ou précisées
Certaines difficultés rencontrées sous la directive actuelle par les responsables pourraient aussi trouver des solutions dans le projet de texte. Ainsi, par exemple, la possibilité pour le responsable du traitement de modifier les finalités de traitement (par exemple, introduire une finalité de marketing) même si elles sont a priori incompatibles avec celles qu’il a initialement prévues. Plus de doute non plus sur les exigences relatives au consentement : celui-ci doit être obtenu par une demande qui se distingue clairement d’autres, portant sur d’autres matières (par exemple, sur des conditions générales). Si un traitement se fait conjointement par deux responsables, ils devront spécialement s’accorder sur leur responsabilité respective quant au respect des règles de protection (exercice des droits d’accès, d’information etc.) et désigner l’un d’eux comme point de contact unique avec les personnes concernées.
L’application des règles européennes sur le sol européen
Les entreprises établies hors d’Europe devront en principe se conformer à la réglementation européenne pour pouvoir offrir leurs services dans l’Union.
Davantage de pouvoirs conférés aux autorités nationales indépendantes chargées de la protection des données: leurs pouvoirs seront renforcés pour leur permettre de faire appliquer effectivement la réglementation. Ces autorités seront habilitées à infliger des amendes aux entreprises qui enfreignent les règles de l’Union relatives à la protection des données. Ces amendes pourront atteindre 1 million d’EUR ou 2 % du chiffre d’affaires annuel global de l’entreprise pour certaines violations du règlement (traitement en l’absence du consentement requis ou en ne respectant pas les conditions relatives à celui-ci etc.)
Le guichet unique
Le règlement prévoit la mise en place d’un «guichet unique» pour les entreprises et les citoyens. Les entreprises n’auront en principe affaire qu’à une seule autorité de contrôle, et non plus à 28, de sorte qu’il leur sera plus simple et moins coûteux d’exercer leur activité dans toute l’Union. Les particuliers n’auront plus en principe qu’un seul interlocuteur auquel ils pourront s’adresser dans leur propre langue, l’autorité nationale chargée de la protection des données dans leur pays d’origine, et ce même si leurs données à caractère personnel sont traitées en dehors de leur pays d’origine.
Plus d’infos ?
En lisant le texte de compromis, que nous dévoilons en annexe à la présente.