Dans une interview publiée le 2 août 2013, la journaliste du Lëtzebuerger Land, Ines Kurschat, a interrogé la vice-présidente de la Commission européenne et commissaire en charge de la justice, des droits fondamentaux et de la citoyenneté, Viviane Reding, sur la réforme de la politique européenne de protection des données, mise sur les rails depuis le 25 janvier 2012 et revenue sur le devant de l’actualité en raison des révélations de l’informaticien américain Edward Snowden, sur l’existence d'une collecte systématique de données de citoyens européens par les services secrets américains, à travers le programme PRISM.
"Le scandale Prism a déclenché une tempête en Europe, parce qu’il a touché un point sensible. La sphère privée tient beaucoup à cœur des Européens." Quant aux Luxembourgeois, "[ils] ne sont en la matière certainement pas une exception", estime Viviane Reding, qui à la lecture des 133 plaintes de citoyens luxembourgeois enregistrées par le Centre national pour la protection des données (CNPD), estime que "le nombre croissant de plaintes montre une sensibilité grandissante des citoyens en matière de protection des données".
Les révélations sur le programme Prism ajoutées à celles sur le programme Tempora sont "un avertissement", estime la vice-présidente de la Commission européenne dans cette interview. "Et la réforme de la protection des données est la réponse qu’y apporte l’Europe". Cette réforme constitue "un mécanisme anti-Prism et contient divers articles, grâce auxquels l’Europe peut se défendre. Si nous adoptons ces règles, les autorités et les entreprises américaines nous prendrons au sérieux", dit-elle.
Viviane Reding rappelle que cette réforme, engagée depuis janvier 2012, modifiera trois éléments-clés qui ont permis le scandale Prism. Le premier est "l’application territoriale" qui doit pallier aux lacunes actuelles. Ainsi, "les entreprises qui proposent des produits et services aux consommateurs européens, doivent respecter complètement les règles de protection des données, même si elles n’ont pas leur siège dans l’UE".
Le deuxième élément doit donner la possibilité aux organismes nationaux de protection des données, d’infliger une amende qui se chiffrerait entre 2 et 3 % de son chiffre d’affaires mondial, à une entreprise qui n’observe pas ces règles. "Notre réforme a du mordant", juge Viviane Reding en évoquant cette nouvelle disposition.
Le troisième élément de la réforme réside dans le renforcement de la sécurité juridique pour le transfert des données. Des pays tiers n’auront accès aux données de citoyens européens, seulement s’ils le font "sur une base juridique clairement définie, soumise au contrôle de la justice". L’accès aux données à travers des entreprises ne sera possible que "dans des cas exceptionnels clairement définis".
Viviane Reding explique par ailleurs que la Commission européenne compte parmi les données personnelles qui doivent faire l’objet d’une protection soutenue, les adresses IP des ordinateurs.
Interrogée sur le fait que la proposition de directive prévoit de nombreux actes délégués, Viviane Reding conteste toute allusion à un déficit démocratique. Ces actes délégués concerneraient "des détails qui n’ont pas de rapports avec les droits individuels ou les devoirs des entreprises", répond-elle. L’acte délégué a pour objectif de ne pas devoir repasser à travers l’ensemble du processus législatif pour modifier des détails. "Les actes délégués ne sont pas, comme quelques lobbyistes l’affirment erronément, non démocratiques, dans le sens où ils permettraient à la Commission de prendre le contrôle", rétorque la vice-présidente de la Commission européenne. "Au contraire, ils sont là pour pouvoir adapter des éléments accessoires à de nouvelles évolutions", et ce de surcroît, sous le contrôle du Parlement européen mais aussi du Conseil.
Questionnée sur la possibilité d’une mise en œuvre de la réforme de la protection des données d’ici à mai 2014, Viviane Reding se dit optimiste. Elle en veut pour preuve le "signal fort" envoyé par le Conseil informel Justice et Affaires intérieures, qui s’est tenu à Vilnius le 19 juillet 2013. "Toutes les institutions européennes sont d’accord sur le fait que nous devons travailler ensemble, pour mettre en place un droit solide à la protection des données". "Et il est bon de constater que le moteur franco-allemand tourne à plein régime, et que les deux pays se sont reconnus dans l’objectif d’un haut standard de protection et d’une adoption rapide de la réforme", ajoute-t-elle. Néanmoins, pour que ce bon tempo soit maintenu, Viviane Reding espère que le sujet sera évoqué et débattu lors du Conseil européen d’octobre 2013, dans le cadre du débat sur le marché intérieur digital.
Concernant l’accord Safe Harbour, "il n’est peut-être pas si sûr", concède Viviane Reding comme elle l’avait déjà déclaré à Vilinus le 19 juillet 2013. "Cet accord pourrait plutôt constituer une lacune pout les transferts problématiques de données, d’entreprises européennes à des entreprises américaines", dit-elle. Ainsi, à son initiative précise-t-elle, la Commission européenne s’est engagée dans un processus de vérification, dont les conclusions devraient être disponibles à la fin de l’année 2013. Cet accord pourra dès lors être maintenu, "seulement si une pleine et effective protection des données des citoyens européens est garantie".
La Commission européenne n’est pas contente de la manière dont il fonctionne, poursuit Viviane Reding. La proposition du 25 janvier 2012 prévoyait déjà de soumettre le transfert de données à des fins commerciales à des "règles plus sévères". "De tels transferts ne devraient être possibles, que, lorsque dans ces pays, un niveau de protection des données correspondant à celui de l’UE est garanti", dit-elle. Comme cet accord n’est pas contraignant mais dépend d’engagements volontaires d’entreprises américaines, la Commission européenne ne dispose pas de données, répond Viviane Reding à une question sur le nombre de violations de l'accord Safe Harbour constatées. Toutefois, précise-t-elle, la Commission européenne aurait, à plusieurs reprises, exigé auprès de la Commission fédérale américaine du commerce, qui est chargée d’éventuelles sanctions, de renforcer la mise en œuvre des règles de l’accord Safe Harbour.