La Conférence annuelle des autorités européennes de protection des données, qui a eu lieu les 3 et 4 mai 2012 à Luxembourg, a été l’occasion pour le ministre luxembourgeois des Communications et des Médias, François Biltgen, et la commissaire européenne en charge de la Justice et des droits fondamentaux, Viviane Reding, d’exposer leurs vues sur la révision de la législation européenne en matière de protection des données à caractère personnel lancée en janvier 2012.

L’intervention de François Biltgen

Le ministre François Biltgen, est intervenu en sa qualité de ministre des Communications et des Médias, car bien qu’il soit aussi ministre de la Justice, il a dû préciser à ses auditeurs venus d’ailleurs qu’au Luxembourg,  "la matière de la protection des données relève non pas des attributions du ministre de la Justice, comme c’est le cas dans d’autres Etats membres, mais appartient au domaine de compétence du ministre des Communications et des Médias".

Comment respecter les droits fondamentaux à une époque charnière ?

La protection des données est pour François Biltgen "un sujet d’une actualité brûlante", dans la mesure où "la protection des données personnelles représente une valeur fondamentale de notre société démocratique et un droit fondamental en Europe". Il s’est référé d’emblée à l’article 8 de la Charte des droits fondamentaux de l’UE et à l’article 16 du Traité sur le fonctionnement de l’UE.

Le premier article (art. 8 de la Charte) dit  "1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification. 3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante."

Et le deuxième article (art. 16 TFUE) stipule : "Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d'autorités indépendantes".

Abordant la révision "tant attendue" de la législation européenne en matière de protection des données à caractère personnel, François Biltgen a félicité la Commission européenne "pour avoir pris cette initiative ambitieuse car la matière est complexe et les défis sont considérables". Pour le ministre, "nous nous situons aujourd’hui au début d’une nouvelle ère, à un moment charnière pour la future orientation de notre société", où "le traitement de données permanent n’est pas l’exception mais plutôt la règle – tant pour les entreprises que pour les citoyens". Et "il est de plus en plus difficile de faire d’emblée une distinction claire entre celles qui sont sensibles et celles qui ne le sont pas". Tout dépend "du contexte dans lequel les données sont traitées et la finalité de ce traitement". Bref, "l’intérêt ou la sensibilité d’une donnée peut donc changer en fonction du responsable du traitement, en fonction de la finalité, en fonction du contexte, en fonction des risques encourus".

La dimension économique pour l’UE et le Luxembourg

 Or, "l’exploitation commerciale ou indirectement commerciale des données personnelles est aujourd’hui devenue un élément clé de l’économie numérique". Le Luxembourg a "très tôt reconnu le potentiel de croissance du secteur de nouvelles technologies", a expliqué le ministre.

Conséquence de cette manière de voir les choses :

• le Luxembourg a adopté une stratégie de haut débit qui encourage et soutient le déploiement de réseaux et d’infrastructures de communications performants en termes de qualité et de vitesse,
• les nouvelles technologies de communication et d’information ( TIC ) figurent parmi les priorités nationales de la recherche et, entretemps, l’Université du Luxembourg dispose d’un centre "renommé" pour la sécurité et la confiance dans le monde numérique,
• le secteur des services liés au stockage, au traitement et à la gestion des données a connu une forte croissance : une vingtaine de centres de calcul (data centers) d’une surface totale de près de 40.000 m² ont été déployés. Le Luxembourg est l’un des rares pays dans le monde pouvant se prévaloir de 3 centres de calcul (data centers) certifiés Tier4, qui sont le plus sécurisés,
• le Luxembourg a développé une culture de confiance et de sécurité et la sécurisation des données est un élément-clé de la stratégie en matière de cybersécurité que le gouvernement a adoptée en 2011.

Les défis : réussir cet exercice délicat qui consiste à trouver un juste équilibre entre la protection du droit à la vie privée et la libre circulation des données à caractère personnel

 Mais, a mis en garde le ministre, "le développement de l’économie numérique ne doit pas se faire au détriment des citoyens dont les données personnelles sont au cœur des activités des acteurs économiques". Cela passe par le respect des droits fondamentaux. Et c’est là tout le défi : "Réussir cet exercice délicat qui consiste à trouver un juste équilibre entre la protection du droit à la vie privée et la libre circulation des données à caractère personnel ; entre la protection des données personnelles et le besoin d’innovation, entre la nécessité d’accroître la confiance dans l’économie numérique et une certaine simplification de l’environnement légal".  Et pour le ministre, qui est en faveur d’une approche pragmatique, moderne et en adéquation avec les droits fondamentaux, le traité de Lisbonne et la Charte indiquent clairement la direction à suivre.

Au niveau européen, François Biltgen est, à l’instar de la Commission européenne, en faveur de la mise en place "des mêmes règles dans tous les Etats membres", mais elles devront être "des plus claires", tant pour les citoyens que pour les entreprises. "Plus les règles seront claires, plus il y aura de la sécurité juridique, plus le traitement des données personnelles se fera de manière responsable", pense-t-il.  Pour les entreprises, il est pour le one-stop-shop. Pour les citoyens, il est pour qu’ils puissent continuer pour toute affaire qui les concerne de s’adresser à leur autorité nationale compétente. Sa doctrine : "Les autorités nationales chargées de la protection des données doivent jouer un rôle-clé". Pour le ministre, il est positif que la protection des données soit devenue "un réel sujet de débat dans la société civile". Les autorités nationales devront donc en conséquence être dotées "de moyens juridiques, financiers et humains adéquats". Et il faudra "équiper toutes les autorités nationales de la même manière", si l’on veut que les règles européennes soient appliquées de manière "efficace et uniforme" sur base du principe du pays d’origine et d’une coopération accrue entre les différentes autorités compétentes. Un autre aspect de la protection des données à caractère personnel est la poursuite des efforts pour informer, éduquer et sensibiliser les citoyens sur les risques encourus.

L’intervention de Viviane Reding

La commissaire européenne en charge de la Justice et des droits fondamentaux, Viviane Reding, a défendu devant la conférence les grandes lignes du projet de réforme de la Commission : moderniser les règles en vigueur, renforcer les droits des citoyens, accroître la sécurité juridique des traitements de données et évidemment consolider le rôle des autorités nationales compétentes dans ce domaine.

Elle a ensuite répondu à un certain nombre de critiques qui ont été formulées depuis janvier 2012.

La question des actes délégués

Une de ces critiques concerne le fait que le règlement prévu peut être amendé non pas après une longue discussion législative, mais par des actes délégués. Le traité sur le fonctionnement de l’Union européenne dit à cet égard dans l’article 290 : "Un acte législatif peut déléguer à la Commission le pouvoir d'adopter des actes non législatifs de portée générale qui complètent ou modifient certains éléments non essentiels de l'acte législatif. Les actes législatifs délimitent explicitement les objectifs, le contenu, la portée et la durée de la délégation de pouvoir. Les éléments essentiels d'un domaine sont réservés à l'acte législatif et ne peuvent donc pas faire l'objet d'une délégation de pouvoir".

Partant de là, Viviane Reding a tenu à rassurer l’assistance. Le recours à l’acte délégué se fera si des adaptations sont nécessaires à cause de certains changements technologiques. Il n’est possible qu’après qu’un acte législatif ait été adopté selon les procédures de l’UE, y compris par le Parlement européen. Avant, insiste la commissaire, ce genre de décision était pris tout simplement par les fonctionnaires nationaux après consultation dans le cadre de la "comitologie", et ce sans le Parlement européen. La procédure était pour elle à la fois "nationale" et "non démocratique". Pour la commissaire, les lobbyistes "multinationaux" qui disent actuellement que l’acte délégué serait anti-démocratique le font parce qu’ils ont pu faire aboutir plus facilement leurs vues avec l’ancien système. Bref, pour la commissaire, il s’agit d’un argument fallacieux et intéressé qui ne trompe personne.  

Une autre critique a par contre été que la Commission pourrait se saisir de l’instrument de l’acte délégué pour empiéter sur les pouvoirs et la capacité d’interpréter le droit de l’Union des autorités nationales de protection des données. Pour elle, c'est également faux. C’est plutôt le contraire qui est vrai selon elle. La Commission veut que ces autorités jouent leur rôle d’orientation, d’information, de régulation, et leur expérience et opinion importeront avant tout éventuel acte délégué, quand la nouvelle législation européenne aura été adoptée. 

Les conséquences de suivre une seule règle

Une autre ambition de la réforme projetée est que la coopération entre les autorités nationales de protection des données de l’UE et les 1 500 experts qui travaillent pour elles se fasse selon certaines règles qui devraient la rendre plus cohérente, un processus lancé sous le nom de "consistency mechanism", ceci afin de renforcer la manière dont elles s’imposeront par rapport aux entreprises et leur indépendance par rapport aux gouvernements. Certes, la Commission pourrait, après la mise en œuvre de la réforme, intervenir dans le cadre de ce mécanisme, mais ce serait, assure Viviane Reding, "en tout dernier ressort". Elle pourrait effectivement, dans des cas limités, suspendre une décision qui ne serait pas conforme avec le droit de l’Union, ou par laquelle les règles de l’UE seraient appliquées de manière incohérente. Bref, a lancé la commissaire, "la Commission n’a pas l’intention de devenir une super-autorité de protection des données". Et si elle a engagé une procédure judiciaire contre la Hongrie devant la CJUE, c’est uniquement par son souci que ceux qui président aux destinées de l’autorité nationale de protection des données de cet Etat membre soient personnellement indépendants du gouvernement national.        

Le principe du "one-stop-shop" implique qu’il faut donner des moyens adéquats aux autorités nationales de protection des données

Le principe du "one-stop-shop", selon lequel l’autorité nationale de protection des données où une entreprise aura son siège principal sera le point de contact de cette entreprise, permettra à cette autorité d’engager ses ressources de manière rationnelle, promet la commissaire. Et il leur sera possible de partager leurs expériences de manière plus efficace. D’ores et déjà, les derniers cas qui impliquent Facebook et Google montrent le côté positif des choses quand une seule autorité nationale coordonne les enquêtes en cours tout en pouvant se baser sur l’expertise des autres. Bref, il n’y aura pas forcément plus de travail, mais un travail mieux fait.

Mais dans ces nouveaux cas de figure, les autorités nationales de protection des données devront disposer de moyens adéquats, ne serait-ce que pour garder leur indépendance. Et pour y arriver, Viviane Reding "a besoin d’identifier une méthode objective de calcul basée sur l’expérience des besoins d’une autorité nationale pour qu’elle puisse travailler de manière efficace". Cela lui permettrait de développer dès l’été 2013 des lignes directives pour des autorités nationales de protection des données "idéales, efficaces et financièrement indépendantes", de préférence indépendamment de la réforme en cours.  

Viviane Reding est aussi convaincue que les autorités des Etats-Unis sont en train d’accepter l’idée qu’une "action régulatrice" est nécessaire sur la protection des données mobiles, sur les règles de protection de la vie privée et des enfants, sur le profilage et le consentement des personnes. Ce qui importe, c’est que les citoyens européens puissent obtenir raison à un niveau administratif ou judiciaire et que leurs droits fondamentaux soient respectés dans les pays tiers.          

La directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales constitue pour la commissaire un progrès, mais déplaît à de nombreux Etats membres

 Un autre aspect de la réforme est la directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes. Viviane Reding sait que les autorités nationales ne sont pas satisfaites avec ce texte. Il constitue néanmoins pour elle un progrès par rapport à la décision-cadre de 2008. Le choix de la directive comme formule législative a été fait pour donner aux Etats membres dans un domaine sensible des marges d’appréciation lors de sa transposition. De nombreux Etats membres, assure-t-elle, ne voudraient même pas d’une directive.

Il fallait donc être "réaliste" tout en intégrant à la directive les mêmes principes que ceux qui sont contenus dans le règlement. La directive va plus loin que la décision-cadre dans le sens où elle n’inclut pas seulement les traitements de données dans le cadre de la coopération judiciaire ou policière transfrontalière, mais aussi les traitements à l’intérieur des Etats membres. Cela suscite une opposition dans plus de la moitié des Etats membres, mais soulève de nombreuses sympathies au Parlement européen, où la Commission ira solliciter des soutiens pour arriver à une adoption de la réforme en été 2013. Pour cela, Viviane Reding compte sur le soutien des chefs des autorités nationales.

Car il faut aller vite : selon elle, "si l’Europe n’est pas rapide sur ce sujet, les règles et les nouvelles normes de protection des données ne seront pas écrites en Europe, mais sur d’autres continents et par d’autres acteurs".