La Commission européenne a proposé le 25 janvier 2012 une réforme globale, annoncée depuis plus d’un an, des règles adoptées par l’UE en 1995 en matière de protection des données afin de renforcer les droits en matière de respect de la vie privée dans l’environnement en ligne et de donner un coup d’accélérateur à l’économie numérique européenne.
Les progrès technologiques et la mondialisation ont modifié en profondeur les modes de collecte, de consultation et d’utilisation de nos données. En outre, les mesures nationales de transposition de la directive de 1995 diffèrent entre les 27 États membres de l’UE, ce qui a entraîné des divergences dans l’application de ce texte. Une législation unique entend mettre fin à la fragmentation juridique actuelle et aux lourdes charges administratives pesant sur les entreprises, ce qui devrait permettre à ces dernières de réaliser des économies annuelles de l’ordre de 2,3 milliards d’euros. Cette initiative est aussi conçue pour contribuer à renforcer la confiance des consommateurs dans les services en ligne, ce qui pourrait donner un coup de fouet salutaire à la croissance, à l’emploi et à l’innovation en Europe.
"Il y a 17 ans, moins d’1 % des Européens utilisaient Internet. À l’heure actuelle, de grandes quantités de données à caractère personnel sont transférées et échangées d’un continent à l’autre et dans le monde entier, en quelques fractions de seconde", a indiqué Viviane Reding, vice-présidente de la Commission et commissaire chargée de la justice.
"La protection des données à caractère personnel est un droit fondamental reconnu à tous nos concitoyens, mais ceux-ci n’ont pas toujours le sentiment de maîtriser entièrement les données à caractère personnel les concernant", a souligné la commissaire, pour laquelle cette réforme est une affaire de conviction.
La réforme proposée par Viviane Reding comprend :
Les principales modifications apportées par la réforme sont notamment les suivantes:
Un corpus unique de règles relatives à la protection des données sera valable dans toute l’Union. Les obligations administratives inutiles, comme celles en matière de notification qui incombent aux entreprises, seront supprimées, ce qui représentera pour ces dernières une économie annuelle de quelque 2,3 milliards d’euros.
En lieu et place de l’obligation actuelle imposée à toutes les entreprises de notifier l’ensemble des activités concernant la protection de données à des autorités de contrôle compétentes en la matière – cette obligation étant à l’origine de formalités administratives inutiles coûtant 130 millions d’euros par an aux entreprises, le règlement impose davantage d’obligations aux entités procédant au traitement de données à caractère personnel et accroît leur responsabilité. Ainsi, les entreprises et organisations devront, dans les meilleurs délais (si possible, dans un délai de 24 heures), notifier à l’autorité de contrôle nationale les violations graves de données à caractère personnel.
Les organisations n’auront plus comme interlocuteur qu’une seule autorité nationale chargée de la protection des données dans le pays de l’Union où elles ont leur établissement principal. De même, les citoyens pourront s’adresser à l’autorité chargée de la protection des données dans leur pays, même lorsque leurs données sont traitées par une entreprise établie en dehors du territoire de l’UE. Chaque fois que le consentement de la personne concernée est exigé pour que ses données puissent être traitées, il est précisé que ce consentement ne sera pas présumé mais devra être donné explicitement.
L’accès des personnes concernées à leurs propres données sera facilité, de même que le transfert de données à caractère personnel d’un prestataire de services à un autre (droit à la portabilité des données). La concurrence entre prestataires de services s’en trouvera renforcée.
Un "droit à l’oubli numérique" aidera les citoyens à mieux gérer les risques liés à la protection des données en ligne : ils pourront obtenir la suppression de données les concernant si aucun motif légitime ne justifie leur conservation.
Les règles de l’Union devront s’appliquer si des données à caractère personnel font l’objet d’un traitement à l’étranger par des entreprises implantées sur le marché européen et proposant leurs services aux citoyens de l’Union.
Les autorités nationales indépendantes chargées de la protection des données seront renforcées afin qu’elles puissent mieux faire appliquer et respecter les règles de l’UE sur le territoire de l’État dont elles relèvent. Elles seront habilitées à infliger des amendes aux entreprises qui enfreignent les règles de l’Union relatives à la protection des données. Ces amendes pourront atteindre 1 million d’EUR ou 2 % du chiffre d’affaires annuel global de l’entreprise.
Une nouvelle directive appliquera les règles et principes généraux relatifs à la protection des données à la coopération policière et judiciaire en matière pénale. Les règles s’appliqueront aux traitements aussi bien transfrontières que nationaux de données à caractère personnel.
Les propositions de la Commission vont à présent être transmises au Parlement européen et aux États membres de l’UE (qui se réunissent au sein du Conseil de ministres) pour y être examinées et débattues. Elles entreront en vigueur deux ans après leur adoption.
On entend par données à caractère personnel toutes les informations relatives à une personne, qu’elles se rapportent à sa vie privée, professionnelle ou publique. Il peut s’agir d’un nom, d’une photographie, d’une adresse de courrier électronique, de coordonnées bancaires, de messages publiés sur des sites de socialisation, de renseignements médicaux ou de l’adresse IP d’un ordinateur. Selon la charte des droits fondamentaux de l’Union européenne, toute personne a droit à la protection, dans tous les aspects de sa vie, des données à caractère personnel la concernant: à son domicile, sur son lieu de travail, lorsqu’elle fait des achats ou reçoit un traitement médical, au poste de police ou sur Internet.
À l’ère numérique, la collecte et la conservation d’informations à caractère personnel sont essentielles. Toutes les entreprises – des compagnies d’assurance aux banques en passant par les sites des médias sociaux et les moteurs de recherches – utilisent de telles données. Dans le contexte de la mondialisation, le transfert de données vers des pays tiers est devenu un élément important de la vie quotidienne. Il n’existe aucune frontière en ligne, et grâce à l’informatique en nuage, des données peuvent être envoyées de Berlin à Boston afin d’y être traitées, puis conservées à Bangalore.
Le 4 novembre 2010, la Commission a présenté sa stratégie visant à renforcer les règles de l’UE en matière de protection des données. Cette stratégie a pour objectif de protéger les données des particuliers dans tous les domaines d’action, y compris en matière répressive, tout en réduisant les formalités administratives pesant sur les entreprises et en garantissant la libre circulation desdites données au sein de l’UE. La Commission a invité les parties concernées à lui transmettre leurs observations au sujet de ses propositions et a mené une consultation publique distincte en vue de la révision de la directive européenne de 1995 relative à la protection des données (directive 95/46/CE).
Les règles de l’Union en matière de protection des données visent à protéger les libertés et droits fondamentaux des personnes physiques, notamment le droit à la protection des données ainsi que la libre circulation de ces dernières. Cette directive générale relative à la protection des données a été complétée par d’autres instruments juridiques tels que la directive "vie privée et communications électroniques".
Il existe également des règles spécifiques applicables à la protection des données à caractère personnel dans les domaines de la coopération policière et judiciaire en matière pénale (décision-cadre 2008/977/JAI).
Le droit à la protection des données à caractère personnel est expressément reconnu par l’article 8 de la charte des droits fondamentaux de l’Union européenne et par le traité de Lisbonne. Le traité contient, à son article 16, une base juridique pour l’adoption de règles relatives à la protection des données pour toutes les activités qui relèvent du champ d’application du droit de l’Union (traité sur le fonctionnement de l’Union européenne).
L'initiative de Viviane Reding "est la bienvenue", a réagi Wim Nauwelaerts, juriste spécialisé dans la sécurité des données au cabinet Hunton and Williams. Mais, selon lui, le droit à l'oubli numérique "sera difficile à appliquer".
Une source proche du dossier a confié à l’agence de presse AFP que c'est d'ailleurs notamment parce que certaines de ses propositions étaient "impossibles à mettre en pratique" que Viviane Reding a dû accepter des compromis avec ses collègues commissaires. Et selon une source diplomatique européenne, "elle a été obligée de lâcher beaucoup de choses".
La présidence danoise de l'UE a souligné que c'était maintenant aux Etats de "discuter des nombreuses et importantes questions soulevées par les propositions de la Commission", et qu'elle ferait en sorte "que toutes les opinions soient entendues".
Les textes risquent aussi d'être difficiles à accepter en l'état pour les ministres de l'Intérieur et de la Justice de l'UE, qui redoutent les entraves à la coopération policière, même si des dérogations sont prévues pour le traitement des données par les services de police et de justice, comme les images des caméras de surveillance.
En Allemagne, le responsable fédéral de la protection des données, Peter Schaar, a jugé que la proposition de Viviane Reding "est une bonne base de discussion ". Il a particulièrement salué que les règles européennes de la protection des données s’appliquent aussi aux des entreprises qui n’ont pas leur siège dans l’UE et qui offrent leurs services aux citoyens de l’UE sur le marché européen.
Le parti des pirates a par contre raillé le droit à l’oubli comme découlant "d’un entendement presque naïf de la technique". Pour les pirates, l’intention est bonne, mais techniquement inapplicable. Il faudrait selon eux miser plutôt sur la transparence des entreprises à l’égard de leurs clients sur la manière dont elles utiliseront leurs données personnelles, de manière à leur permettre d’acquiescer ou non à telle ou telle utilisation.