Le paquet de la Commission pour une réforme de la protection des données dans l’UE a été au centre de la conférence annuelle des autorités nationales de protection des données en Europe qui s’est tenue les 3 et 4 mai 2012 à Luxembourg. 38 pays étaient représentés, les Etats membres de l ‘UE plus un certain nombre de pays membres du Conseil de l’Europe et signataires de la Convention dite 108 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. L’OCDE était présente, tout comme le directeur du bureau pour la protection des consommateurs de la Federal Trade Commission des Etats-Unis, David Vladek.

Après les interventions du ministre luxembourgeois des Communications et Médias, François Biltgen et de la commissaire européenne à la Justice et aux droits fondamentaux, Viviane Reding, la discussion entre les délégués s’est déroulée au cours de cinq panels. Europaforum.lu a eu un entretien sur ces panels avec Gérard Lommel, le président de la Commission luxembourgeoise de protection des données, qui était l’hôte de la réunion.

Le paquet de réformes de la protection des données dans le cadre de la globalisation

Le premier panel de la conférence, présidé par Peter Hustinx, le Contrôleur européen de la protection des données, "vraisemblablement un de ceux qui ont le plus d’expérience dans ce domaine", était consacré au paquet de réformes de la protection des données dans le cadre de la globalisation. L’apport de l’Américain David Vladek a été jugé "positif", même si l’approche de la question par les Etats-Unis ne passe pas par la protection des données, mais par la protection des consommateurs contre les "unfair trade practices" ou la protection des enfants sur l’Internet. La Maison Blanche a produit récemment un livre blanc qui démontre "certains parallèles", selon ses propres mots, rapportés par Gérard Lommel et le chef de la protection des données allemand, Peter Schaar, qui a produit sur son site pratiquement en direct des articles sur la conférence. Mais l’approche américaine est, selon Gérard Lommel plus incitative, plus basée sur l’autorégulation et moins prescriptive. Reste que ce livre blanc pourrait déboucher sur une loi fédérale.

L’approche américaine a eu le soutien du représentant britannique, Christopher Graham, qui a demandé une meilleure protection des données dans la pratique, et pas dans des textes réglementaires difficilement applicables, donc plus de flexibilité et un projet de règlement moins détaillé. Comme la Commission, il est pour qu’il y ait un responsable du traitement, mais celui-ci doit d’emblée, quand une banque de données est constituée, décrire dans un Privacy impact assessment (PIA) les risques et problèmes. Mais il n’aura besoin de rapporter une infraction que selon le type de risque, ce qui implique qu’une échelle de risques devrait être établie selon les secteurs, selon la sensibilité des données en question, le tout sous la responsabilité des entreprises.

La discussion a été, selon les participants, animée. Françoise Le Bail, la directrice générale de la DG Justice de la Commission, qui a défendu, contre les idées d’une trop grande flexibilité, l’idée de la règle unique qui éviterait la fragmentation des régimes légaux qui protègent la circulation des données dans l’UE, a qualifié la réunion de grande réunion de famille où des idées très différentes sont exposées. Ainsi, les Allemands ont expliqué qu’ils ne pourraient accepter une règle unique que si elle reprend les normes de protection les plus élevées, histoire de ne pas régresser sur le plan national en termes de protection des citoyens. Un exemple de ce qui pourrait devenir un litige : En Allemagne, une entreprise doit désigner un responsable et avoir des protocoles de protection des données à partir de 15 salariés. Selon le règlement proposé par la Commission, ce serait seulement à partir de 250 salariés, une conséquence de sa théorie sur le marché unique et le principe de non-fragmentation.

La Commission a à diverses reprises, y compris dans le discours de Viviane Reding, attiré l’attention des autorités nationales de protection des données sur les enjeux économiques et globaux de la réforme, "même si cela n’est pas la préoccupation principale de ces autorités", comme l’a dit Gérard Lommel. Le but principal est d’arriver à ce que l’UE soit efficace à la fois sur le marché global des données et dans leur protection globale. Gérard Lommel a eu beaucoup de compréhension pour cette approche, au point de prendre, selon son propre aveu, "partie pour elle", car « prévoir d’un côté les plus hautes normes dans le détail et vouloir en même temps l’efficacité, cela ne fait pas bon ménage ». L’approche des Etats-Unis a quelque chose de tentant.

La Commission a insisté au cours des discussions sur le fait que le processus législatif devra être court, un peu plus d’un an au maximum, jusqu’à l’été 2013. Car après viendra le temps de la campagne électorale européenne, du renouvellement de la Commission, et il sera donc plus difficile d’avancer. Cette manière de vouloir pousser le dossier n’a pas entièrement convaincu, pense Gérard Lommel, qui soutient pourtant dans les grandes lignes l’approche de la Commission.

Les mineurs et le droit à l’oubli

Le deuxième panel a abordé la question de qui est un mineur sur l’Internet et celle de la capacité des mineurs d’entrer dans une relation contractuelle sur le Web. Aux Etats-Unis, un mineur n’est plus un mineur sur le Web dès treize ans passés. Le règlement de la Commission veut également aller dans ce sens. Mais il n’en reste pas moins que cela reste une question sensible. Il faut donc des vérifications et des garanties supplémentaires qu’un PIA devra préparer si des mineurs peuvent devenir des clients sur un site.

Le droit à l’oubli, qui est fortement prôné par la Commission, a suscité plusieurs réactions. L’une est que ce droit à l’oubli est d’ores et déjà possible avec le droit à l’effacement de données contestées. L’autre est qu’il est impossible de garantir ce droit. L’idée d’une « porte d’accès » par un site originel qui serait responsable de contacter les sites qui auraient téléchargé des données contestées continue à poser des problèmes pratiques : Comment identifier les autres sites ? Comment les aborder ? Sans oublier que toute démarche de ce genre ne sera jamais complète. Pour Gérard Lommel, il reste néanmoins important que le droit à l’oubli reste dans le règlement, car les circonstances et les moyens technologiques peuvent changer et rendre le principe, juste en soi, plus aisément applicable.

La réduction de la bureaucratie

Le troisième panel avait pour objet la réduction des charges administratives et la mise en place d’un règlement moins bureaucratique assorti, en guise de compensation, d’un surplus de responsabilité. Le scandale de la banque de données médico-sportive au Luxembourg montre néanmoins que cela peut poser des problèmes. La CNPD avait donné une autorisation à une banque de données qui comportait 400 dossiers, 400 dossiers qui sont devenus en sept ans 48 000 dossiers. La CNPD avait exigé que la demande d’authentification soit forte. Mais cela n’a pas été le cas. Le problème sera de faire évoluer la conscience de protéger les données avec l’évolution d’une banque de données. Chose faite avec le site du Syndicat Intercommunal de Gestion Informatique (SIGI), où les démarches administratives passent par une ligne sécurisée de type https.                                                                      

Ce panel a révélé des divergences sur la manière d’envisager la transmission de données vers des pays tiers. Pour les Etats-Unis, mais aussi pour le Royaume Uni, il est techniquement et légalement impossible de soumettre les transmissions de données commercialement et personnellement sensibles à des autorisations. L’issue est qu’entre firmes européennes et firmes de pays tiers, l’on se fixe des Binding Corporate Rules (BCR), des accords inter-entreprises qui s’inspirent du droit en vigueur, qui lient les entreprises signataires, mais qui ne découlent pas de clauses normatives signées entre Etats.     

L’impact de l’obligation de coopération entre autorités nationales liée au principe du "one-stop-shop" 

Le quatrième panel abordait le rôle des autorités nationales de protection de données et l’évolution de leur charge de travail dans le cadre du système du "one-shop-stop", qui fait que c’est l’autorité nationale de protection des données du pays où une entreprise à son siège central qui est responsable de la coordination de toutes les affaires qui concernent cette entreprise. Le directeur général de l’autorité suédoise, Göran Gräslund, a entre autres exprimé des doutes quant à l’impact du "consistency mechanism" sur l’agenda de certaines autorités nationales. De ce mécanisme découle l’obligation de coopérer avec une autre autorité nationale, saisie principalement par une affaire liée à un traitement de données qui a son siège sur son territoire. L’expert suédois est d’avis que l’obligation de coopérer devrait se limiter à des affaires importantes, faute de quoi les autorités nationales de certains pays seraient submergées par des procédures extérieures et ne pourraient plus poser leurs propres priorités.     

La directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales : un recul ou un progrès ?

Le cinquième panel a finalement abordé la question de la directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales. L’on a beaucoup reproché à la Commission, dès le lancement du paquet de réformes, qu’elle a manqué d’ambition. Trois axes ont marqué la discussion : la directive constitue-t-elle un recul, un progrès et qu’en sera-t-il de l’accès des autorités publiques aux données détenues par le secteur privé ? Ainsi, le projet de directive est silencieux sur la question de l’organe qui superviserait le traitement des données par la police et la justice dans les Etats membres, ce qui est considéré comme un recul. Mais au cours des discussions, la Commission a fait comprendre que dans deux ans, elle aborderait la question.

Pour le représentant polonais, Wojciech Rafał Wiewiórowski, le règlement constituera un progrès, car le pays ne connaît pas encore des règles aussi strictes, puisque la directive doit aussi s’appliquer à ce qui se passe dans les Etats membres, et pas seulement aux transmissions transfrontalières de données. Une autre hypothèse  a été avancée par la représentante autrichienne, Eva Souhrada-Kirchmayer. Si la directive doit conduire à une harmonisation pleine, elle constituera un recul, car certains pays ont des règles plus strictes qui seront affaiblies. S’il s’agit d’une transposition a minima, ce sera par contre une bonne base, car les uns recevront enfin des règles plus précises qui répondent à une norme plus élevée de protection des données, et les autres pourront continuer à appliquer leurs règles plus strictes.

Quant à l’accès des autorités publiques aux données du secteur privé, le constat a été dressé que la directive de 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications est mal appliquée. L’Allemagne a vu une procédure de non-transposition engagée contre elle, après le rejet d’une loi de transposition par la Cour constitutionnelle de Karlsruhe, et alors que le traité de Lisbonne a introduit une obligation de réguler toute conservation de données.   

Le sentiment général qui a par ailleurs commencé à prévaloir au cours de la conférence, et cela même si la résolution finale est restée silencieuse sur cette question,  nous a confié Gérard Lommel, c’est que la procédure législative concernant le règlement définissant un cadre général de l’UE pour la protection des données et celle concernant la directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales finiront par être découplées, contrairement à ce que souhaite la Commission. Mais il ne sert à rien, pense l’expert luxembourgeois, de précipiter les choses sur la directive.