Accueil
Politique
Droit
Politique de confidentialité

Le Parlement Européen vote la réforme de la protection des données

Cédric Mialaret
Droit

Le Parlement européen vient de voter la réforme de la protection des données de la Commission Européenne.

Pour être transformée en loi, elle doit encore être votée par le Conseil de l’Union Européenne.
C’est la première révision majeure de la loi depuis 1995 ( Data Protection Directive 95/46/EC) . Elle vise à harmoniser les lois dans les 28 États membres, à durcir la protection de la vie privée, à limiter les utilisations de ces données dans des pays tiers, et le droit des citoyens européens de demander la suppression de données personnelles.

Harmonisation

Les trois points-clés sont :

  • Un continent, une loi. La nouvelle réglementation remplacera les lois disparates des 28 pays membres ;
  • Un interlocuteur unique. Les entreprises n’auront plus à faire qu’a une autorité unique de supervision, ce qui va diminuer leurs coûts et leur faciliter la vie.
  • Les mêmes règles pour tous. Les entreprises non européennes devront suivre la réglementation européenne si elles veulent faire des affaires en Europe. Les amendes pour les contrevenants pourront atteindre 100 millions d’euros ou 5 % du chiffre d’affaires.
    C’est mieux que les amendes actuelles, ridicules, comme celle de la CNIL contre Google, de 150 000 € soit 0,001 % des bénéfices de la société californienne en 2013.

Ce qui change pour les citoyens européens

  • Les personnes doivent donner leur accord au traitement de leurs données personnelles et doivent pouvoir annuler cet accord aussi facilement qu’elles l’ont donné.

Aujourd’hui, on doit se désinscrire/désengager, demain les entreprises devront demander explicitement la permission.
Ce serait un changement fondamental, on peut néanmoins douter de son application.

  • Les personnes ont le droit d’obtenir les données détenues par un tiers, dans un format électronique usuel. C’est une victoire pour les militants. On se souvient des étudiants en droit autrichiens qui se sont battus contre Facebook en ce sens, en 2012, car Facebook ne donnait qu’un accès très limité aux données personnelles.
  • Les citoyens européens pourront saisir leur régulateur national pour se plaindre d’une violation, quel que soit le pays d’établissements des entreprises visées. Cela facilitera notamment les plaintes contre les sites web américains, qui sont souvent domiciliés en Irlande.
  • Les personnes ont le droit de demander que leurs données personnelles soient effacées, mais l’intérêt public, comme celui de l’information, prime.

Si le Parlement ajoute que le sujet doit être informé quand c’est possible, qu’une entreprise a rendu ses informations publiques alors qu’elle ne le devait pas, il est regrettable qu’elle ait amendé l’article en supprimant la phrase suivante : « Quand le contrôleur a autorisé une publication tierce des informations personnelles, il sera considéré responsable pour cette publication. » (Article 17.2)

La vice-présidente Viviane Reding a réagi ainsi:

La protection des données a été inventée en Europe. Des règles strictes de protection des données doivent être la marque de fabrique de l’Europe. Comme suite aux scandales d’espionnage américain, la protection des données est plus que jamais un avantage compétitif. Le vote de ce jour est le signal le plus fort qu’il est temps d’implémenter ces réformes pour nos citoyens et pour nos entreprises.

Une genèse douloureuse

Proposée d’abord en janvier 2012, cette réforme a été entachée de lobbying secret et de manque de transparence, qui montre que la protection des données des citoyens n’a jamais vraiment été une préoccupation profonde  de la Commission Européenne, même si elle s’en sert désormais comme une arme économique.

La Commission Européenne était au courant du programme d’espionnage américain PRISM bien avant les révélations du dénonciateur Edward Snowden, même s’il a fallu la forcer à le reconnaître. Sa première réaction lors de la divulgation a été de dire « c’est une affaire interne aux États-Unis ». Il est vrai que la Commission n’ayant aucune compétence en la matière, il était de la responsabilité de chaque État membre de protéger ses citoyens, ce qu’aucun n’a fait.

Comme suite au lobbying intense des États-Unis, la Commission avait effacé un amendement anti-FISA de son texte de janvier 2012.

On sait aussi que les députés européens se laissent influencer impunément par les groupes de pression. On peut retrouver dans leurs amendements des copies mot pour mot de propositions d’Amazon, d’eBay, de la Chambre de Commerce Américaine et d’autres groupes de pression américains et européens.

Heureusement, les révélations d’Edward Snowden ont tellement choqué l’opinion que les députés européens on voté en masse les amendements proposés par Jan Phillip Albrecht. Dont celui qui interdit aux fournisseurs de transmettre des informations aux Etats-Unis, sauf dans le cadre de la loi européenne: amendement même que les américains avaient fait disparaître de la proposition de texte quelques mois avant.

Conclusions

Au final, cette réforme de la protection des données semble positive pour les citoyens comme pour les entreprises européennes. Néanmoins elle est si complexe qu’il faudra attendre l’analyse approfondie des spécialistes du droit, et voir quels obstacles pourraient empêcher son application.

Si pour l’European Consumer Organization le texte apporte un léger rééquilibrage vers l’utilisateur, le groupe de pression Digital Europe affirme qu’il va limiter l’innovation.

On peut donc s’attendre à un lobbying intensif pour des amendements limitant la protection des données avant le vote éventuel par le Conseil de l’Union Européenne.

En ce qui concerne la protection des données contre des pays comme le Royaume-Uni (mieux vaut débrancher les webcams) ou les États-Unis, le citoyen ne devrait rien espérer.