Du 3 au 4 mai 2012 se tiendra à Luxembourg la Conférence européenne des autorités européennes de protection des données. Elle se consacrera essentiellement à la réforme de la protection des données européenne lancée fin janvier 2012 par la Commission européenne et aux attentes qui y sont liées.

Europaforum.lu s’est entretenu avec Gérard Lommel, le président de la Commission nationale de protection des données (CNPD), qui est l’hôte de cette conférence, des enjeux de cette réforme, qui de par son objet, la protection des données, touche au cœur même de certains droits fondamentaux des citoyens. Cela est d’autant plus important que la Commission a avancé deux volets d’une réforme qui ont une forme juridique différente :

• un règlement définissant un cadre général de l’UE pour la protection des données et
• une directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes.        

La différence entre un règlement et une directive

La différence entre le règlement et la directive est que, d’après le traité (TFUE Art. 289) "le règlement a une portée générale" et "il est obligatoire dans tous ses éléments" et  "directement applicable dans tout État membre", à l’instar par exemple du règlement sur l’initiative citoyenne européenne. Seuls les aspects techniques comme la désignation des autorités compétentes et des procédures et instances de recours découlent du droit commun des Etats. La directive par contre lie selon le traité (TFUE Art. 288) "lie tout État membre destinataire quant au résultat à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens".

Les changements prévus sont le fruit des aspirations de l’industrie, des autorités nationales de protection des données et de l’accélération de la numérisation dans le monde

Jusqu’en 2009, raconte Gérard Lommel, la Commission était persuadée que la directive de 1995 sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et la libre circulation de ces données, qui est actuellement encore en vigueur, avait bien évolué et correspondait encore aux besoins. Mais des signaux venant de trois côtés, de l’industrie, des autorités nationales de protection des données qui thématisaient leur expérience quotidienne, mais aussi du contexte d’accélération de la numérisation d’un nombre croisant de sphères de vie et de la mondialisation, ont changé la donne. L’industrie considérait la protection des données dans l’UE comme ambitieuse, continue Gérard Lommel, mais elle a été conçue « dans le ghetto des autorités nationales » et ne touche pas à la pratique d’une industrie qui est tous les jours obligée de veiller à ce que ses données et celles dont elle est responsable soient bien protégées.

Une enquête Eurobaromètre qui s’adressait aux citoyens comme à l’industrie a, à la même époque, montré que deux tiers des citoyens étaient très sensibles aux questions liées à la protection des données, surtout sur Internet. Une demande des citoyens a émergé de cette enquête autour de la question de savoir comment influencer l’évolution ou le respect de ses droits. L’industrie s’exprimait encore autrement. Elle insistait sur le fait que si la directive de 1995 fournissait un cadre unique, sa transposition avait conduit à ce que les règles, très contraignantes, étaient très différentes selon les Etats membres après la transposition de la directive, ce qui fait que la protection des données est, malgré une directive unique, très fragmentée dans l’UE. Bref, industrie, Commission et autorités nationales sont à un certain point tombés d’accords sur le fait que tout ce qui était fait dans le domaine de la protection des données n’était pas utile pour la protection effective des droits des citoyens. D’où la réforme proposée.

Les trois volets de la réforme

La réforme se propose selon Gérard Lommel

• de renforcer les droits des citoyens,
• de relever la responsabilisation de ceux qui gèrent des données et
• de donner plus de pouvoirs aux autorités nationales qui auront pour tâche de livrer des guidances à l’industrie, d’informer et de sensibiliser les citoyens aux enjeux de la protection de leurs données et de pouvoir prononcer et exécuter des sanctions.

Concernant les droits des citoyens, les différentes parties ont fait le constat que ceux-ci ont rarement exercé leur droit de recours en tant qu’individus, malgré l’une ou l’autre affaire retentissante, comme celle de portée par l’étudiant autrichien Max Schrems contre Facebook, au nom d’un droit européen que l’autorité irlandaise, qui est compétente, peine par ailleurs à faire appliquer à la firme californienne. C’est de là que vient l’idée de permettre des plaintes collectives dérivées du droit sur la protection des consommateurs.

Une autre nouveauté sera l’obligation de désigner un "responsable du traitement" qui sera la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel. Le texte de la proposition de règlement dit aussi que « lorsque les finalités, les conditions et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre ». Jusque là, un tel dispositif n’était que facultatif dans le droit de l’UE, alors qu’il était obligatoire en Allemagne et, depuis 2007, au Luxembourg, où un salarié de l’entreprise est, sous certaines conditions, chargé en interne de la protection des données. En France aussi, ce peut être un salarié de l’entreprise.

Une seule règle - Est-ce possible ? Y a-t-il anguille sous roche ?

Dépasser la fragmentation de fait de la protection des données dans l’UE est, selon Gérard Lommel, un autre objectif qu’il faudrait atteindre avec la réforme projetée, pour des raisons qui tiennent tant de l’application efficace des règles sur l’ensemble de l’Union que pour des raisons économiques, car cette fragmentation est un obstacle à la croissance. Selon la Commission, il faudrait une seule règle et un seul interlocuteur pour toute entreprise de l’UE ou d’un pays tiers, que celle-ci ait ou n’ait pas d’établissement dans l’UE, une question qui n’a pas été résolue avec la directive de 1995.

L’exemple de Google Streetview, qui veut recueillir des données sur le Luxembourg, est éloquent. La société, qui n’avait pas d’établissement dans l’UE au moment où elle voulait faire circuler ses voitures-caméras au Luxembourg, a dû demander une autorisation au Luxembourg à cet effet. Dans le cas où elle aurait sous-traité certaines procédures de collecte de données à des firmes établies dans d’autres pays, il aurait fallu à chaque fois demander une nouvelle autorisation. S’y ajoutait le fait que toute personne avait le droit de demander un opt-out pour les données qui le concernaient lui et ses biens. En fin de compte, le Luxembourg a été, du fait de son exigüité, tout simplement laissé tomber par l’entreprise qui a vu là un cas trop compliqué du point de vue juridique et administratif. Résultat, le Luxembourg est resté "un blanc" sur la carte de Google Street View.

S’ajoute au cas Google que le traitement de ces données, dont la collecte aurait pu être autorisée, se serait fait en Californie, sous le signe de la loi locale, qui n’a pas la même idée de la protection des données personnelles que les règles européennes. Et rien n’empêche Google de recueillir d’autres données sur le Luxembourg par des réseaux, qui pourraient, elles, être traitées sans état d’âme sous la loi californienne uniquement. Facebook agit constamment de la sorte.                 

Lorsque la commissaire Viviane Reding a dit que cela n’était plus possible, trop lacunaire, Google et Facebook "ont changé leur fusil d’épaule", raconte Gérard Lommel. Mieux vaudrait alors, pour rendre les choses moins compliquées, se rabattre sur un seul pays de l’UE, l’Irlande en l’occurrence, pays dont les autorités nationales seraient compétentes pour toutes les activités des deux grandes firmes dans l’UE. Mais cette méthode du "one-stop-shop", retenue par la Commission, a aussi suscité des critiques. La CNIL française notamment craint que les grandes firmes ne s’installent dans des pays qui ont des autorités nationales de protection de données faibles, et que l’on n’aboutisse à un "forum-shopping" et des installations profitables à des pays à ressources faibles dans le domaine de la protection des données.

L’idée d’un établissement unique dans un pays où l’autorité nationale serait compétente pour appliquer la règle unique européenne est aussi critiquée pour éloigner la protection des données des citoyens. À quoi la Commission a répondu en proposant que l’autorité nationale de protection des données soit compétente à la fois pour les firmes établies sur son territoire de compétence et pour les citoyens qui y résident, y compris si leur plainte concerne une firme établie dans un autre pays de l’UE. Bref, s’il y a par exemple une plainte au Luxembourg contre une firme établie en Irlande, l’autorité luxembourgeoise est compétente, mais l’autorité irlandaise doit coopérer avec l’autorité luxembourgeoise, transmettre la plainte, en assurer le suivi, etc. Et si l’autorité nationale de l’autre pays ne fait pas son travail, le citoyen peut porter plainte contre elle, tout comme une autorité nationale peut porter plainte contre une autre autorité nationale. Pour Gérard Lommel, il s’agit ici de quelque chose de "révolutionnaire".

Mais il y a d’autres points critiques, qui font douter que la Commission soit suivie par le Conseil sur le règlement proposé. Un règlement de l’UE abolit le droit national qui l’a précédé. Le droit allemand sur la protection des données, à la fois fort et basé sur une jurisprudence circonstanciée qui a fait évoluer la matière, disparaîtrait ainsi. Cela fait aussi dire à des jurisconsultes allemands que la solution prônée par la Commission priverait le citoyen allemand des acquis du droit et de la jurisprudence de son pays, car elle n’apporte pas de réponse à la question de savoir quelle serait l’autorité constitutionnelle de contrôle, notamment pour vérifier si les citoyens allemands ont vu leurs droits renforcés ou affaiblis par le nouveau règlement. Une réponse est possible de la part de l’UE : soit un paquet de réforme qui renforce vraiment ces droits passe, ou bien un Etat membre peut invoquer une clause d’ouverture sur le droit national. Mais dès lors, est forcé d’admettre Gérard Lommel, la fragmentation est de nouveau là.

Comment les droits des citoyens pourront-ils s’affirmer ?

Avec la réforme, le citoyen aura le droit d’accéder à ses données, à les modifier si nécessaire, à s’opposer à certaines manières de les diffuser ou de les transférer et il aura aussi le droit à l’oubli numérique. Mais comment ? Dès que le citoyen aura trouvé une "porte d’accès" à ses données auprès d’un organisme qui les traite, explique Gérard Lommel, il pourra lui poser des questions que cet organisme, et cet organisme sera obligé de prendre toutes les "mesures raisonnables" pour lui répondre et de transmettre sa question à tous les autres organismes qui sont susceptibles de traiter eux aussi ces données. Par ailleurs, les citoyens auront le droit explicite de s’opposer à ce que leurs données soient utilisées à des fins de profilage. Cette approche suscite un véritable tollé aux Etats-Unis, où le profilage est une méthode commerciale tout à fait banalisée, mais aussi dans l’industrie dans l’UE. Pourtant, la Commission continue d’exiger que les démarches sur des données personnelles des citoyens soient basées sur le consentement explicite de ceux-ci, la transparence, leur droit de décliner certains droits d’accès et leur droit de rectifier les données qui les concernent.

Afin que cela puisse être garanti, le responsable du traitement devra élaborer à partir des finalités de sa banque de données qui doit être conforme avec les règles légales un Data Impact Assessment, un DIA. C’est sous sa responsabilité et à partir de ces règles qu’il devra faire fonctionner sa banque de données. Cela sera, insiste Gérard Lommel, qui a eu à gérer depuis la création de sa commission 16 000 notifications et 3 500 autorisations, un processus complexe et coûteux dont les protocoles seront vraisemblablement élaborés par "l’industrie de la consultance", pour laquelle s'ouvre ici un nouveau marché. Ces protocoles seront basés sur une quarantaine de règles pour toute l’UE, ce qui est beaucoup, mais toujours moins que les dizaines de règles à chaque fois un peu différentes de plus d’une vingtaine d’Etats membres. Ces protocoles seront établis à l’échelle des entreprises et de la sensibilité des données. Mais même cela est relatif, fait remarquer Gérard Lommel. En effet, une petite agence de voyages peut avoir des fichiers de clients avec des données très sensibles – adresses, numéros de téléphone, numéros de cartes de crédit, etc. – et, après une notification de la constitution de leur fichier à la CNPD, on en sait très peu sur ces banques de données, sur leurs modes de transmission, sur la durée de conservation des données, etc.

La confiance est néanmoins au centre d’un système qui prévoit un passage du contrôle a posteriori au contrôle a priori : la protection des données est d’emblée intégrée dans une nouvelle banque de données ; une évaluation d’impact, le DIA, est d’emblée livrée par le responsable du traitement ; il y aura aussi des notifications sur les connexions avec d’autres traitements, une obligation de faire rapport et évidemment la possibilité, toujours, d’être contrôlé, si l’entreprise a plus de 250 salariés. Pour une autorité publique par contre, ce seuil n’existe pas. Des enquêtes sur toute entreprise sont toujours possibles, s’il y a plainte, et les poursuites au pénal et au civil resteront celles des législations nationales actuelles. Un chiffre livré ici par Gérard Lommel : depuis que des règles existent sur le traitement des données, les infractions sont passées de 5 à 2 % des contrôles.          

Et les enjeux économiques ?

Pour le Luxembourg, les enjeux économiques de la nouvelle réglementation européenne sur la protection des données semblent être majeurs. Fin mars, le Service des médias et LIEN communications 2012/03/smc-protection-donnees/ du Luxembourg a lancé une consultation, après celle de la Commission européenne. Pourquoi ? Parce que l’on s’attend à ce que la Chambre de commerce ou la FEDIL se prononcent, a répondu Gérard Lommel, mais aussi les grands du web qui sont installés à Luxembourg : Amazon, e-bay, PayPal, mais aussi la boutique on-line d’Apple et Microsoft, qui ont des intérêts substantiels dans le pays. 

C’est pourquoi Gérard Lommel verrait d’un bon œil que les autorités nationales de protection des données partagent le plus possible leurs expériences et leurs procédures, s’il y a lieu. Ainsi celle qui est compétente ne pourra jamais être tentée de faire ce qu’elle veut, ou celle qui est compétente, par exemple celle d’un petit Etat, ne verra pas son autorité "ignorée" par une firme internationale et puissante. Les droits civils des personnes seront renforcés ainsi, comme ils le seront si l’on traite les fichiers des entreprises de manière aussi vigilante que les fichiers des autorités publiques sur les citoyens, …..  

Est-ce que la réforme de la protection des données dans l’UE sera vraiment ce "nouveau monde" qu’une entreprise citée par Gérard Lommel entrevoit, sera-t-elle vraiment cette "révolution copernicienne" qu’un grand cabinet d’avocats voit venir ? Les lecteurs d’Europaforum.lu en sauront un peu plus sur ce site après la conférence européenne des autorisé nationales de protection des données de l’UE. 

La lutte contre le terrorisme et la protection des données

Quant à la directive, qui elle concerne la question de la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes, comme la lutte contre le terrorisme, elle est fortement critiquée pour compter trop d’exceptions à la règle, pour manquer de transparence et pour être floue quand il s’agit de décrire les finalités d’un traitement de données et leur délai de conservation. Pour Gérard Lommel, dès qu’il s’agit de lutte contre le terrorisme, les limites n’existent plus.(voir aussi la problématique de l'accord PNR avec les USA, celle du PNR de l'UE et la polémique autour de SWIFT)