Les ministres de la Justice des Vingt-huit étaient réunis le 7 octobre 2013 à Luxembourg à l’occasion d’un Conseil JAI qui était notamment consacré à deux débats d’orientation, l’un sur la réforme du cadre réglementaire européen en matière de protection des données personnelles et l’autre sur la création d’un parquet européen.

Dans le cadre du paquet de réforme en matière de protection des données personnelles - dont la réglementation actuellement en vigueur date de 1995 -, qui vise à créer un corpus unique de règles valable dans toute l’Union, la proposition de la Commission de création d’un guichet unique était au menu des ministres de la Justice.

Mais le manque de convergence affiché au Conseil sur le sujet fait désormais craindre que le calendrier de la réforme soit repoussé au-delà des élections européennes et donc renvoyé à la prochaine législature, contrairement à l’ambition affichée de la Commission. D’autant que le Parlement européen, qui pourrait apporter des modifications au projet, devra également l’adopter.

Selon le principe du guichet unique défendu par la Commission, une seule autorité nationale serait dorénavant compétente à l’égard d’une entreprise exerçant son activité dans plusieurs États membres de l’UE et aurait ainsi la charge de régler le contentieux au nom de toutes les autres.

"Le guichet unique est un élément crucial de la réforme visée et constitue une des principales valeurs ajoutées du texte", a déclaré la ministre luxembourgeoise de la Justice, Octavie Modert en marge du Conseil. "Dans une économie numérique, où les flux de données sont un moteur pour la croissance et la création d’emplois, les frontières ne comptent plus. C’est pourquoi un guichet unique est indispensable: non seulement pour réduire les coûts et la charge administrative des entreprises actives dans plusieurs marchés européens, qui dorénavant n’auront à faire qu’à une seule autorité (et ne devraient ainsi plus multiplier les demandes d’autorisation), mais aussi pour encourager les activités transfrontières et approfondir le marché intérieur européen."

Selon la ministre, davantage de clarté dans les règles et une seule réglementation applicable – contre 28 aujourd’hui – profiteraient en outre au citoyen, dont la protection serait renforcée. En vertu du nouveau système, un citoyen qui s’estime par exemple lésé par un géant de l’internet ne serait plus contraint, comme c’est le cas actuellement, de s’adresser directement à l’autorité du pays qui héberge le siège de l’entreprise incriminée. Il pourrait contacter sa propre autorité nationale, qui serait chargée de transmettre la requête à l’autorité nationale compétente.

Autorité nationale contre autorité européenne

La Commission a proposé que cette autorité compétente, qui déciderait au nom de toutes les autres, soit celle où l'entreprise en question a son siège principal. Sa décision devrait néanmoins être validée par un avis rendu par le Contrôleur européen de la protection des données (CEPD), l'instance représentative des 28. En cas de désaccord sur la décision prise, c’est à la Commission qu’il reviendrait alors de trancher.

La ministre luxembourgeoise de la Justice, Octavie Modert, s’est montrée optimiste quant à une avancée rapide sur le sujet, tout comme d’ailleurs la commissaire en charge de la justice, Viviane Reding, qui s’est dite ravie d’une discussion lors de laquelle elle assure avoir observé "une majorité écrasante" en faveur de son principe. Mais le projet sur la table semble encore loin de faire l’unanimité parmi les Etats membres.

Si une grande majorité d’Etats membres se sont prononcés pour l’introduction d’un guichet unique en la matière, les modalités d’un tel instrument font largement débat. Ainsi le ministre de la Justice lituanien, Juozas Bernatonis, dont le pays assure la présidence tournante de l’UE, a relevé à l’issue des débats que "de nombreux Etats membres ont des opinions différentes. Nous devons être réalistes", a-t-il poursuivi, appelant à faire primer la qualité sur la précipitation. Hormis la proposition de la Commission, l’Allemagne et la France défendent en effet chacune une vision très distincte du guichet unique.

L’option allemande consisterait plutôt à limiter les pouvoirs dévolus à une seule autorité nationale de protection. Dans les cas d'utilisation de données couvrant plusieurs pays membres, Berlin préconise de directement se tourner vers le CEPD qui deviendrait ainsi le seul organe compétent pour décider. Pour ce faire, ce comité devrait néanmoins être doté de nouvelles compétences et d'une personnalité juridique, une demande combattue par plusieurs Etats, dont le Danemark, l'Irlande, le Royaume-Uni et la Suède et à laquelle la Commission ne serait pas non plus favorable, rapporte l’AFP. 

Le représentant permanent de l’Allemagne auprès de l’UE, Peter Tempel, qui remplaçait le ministre de l’Intérieur allemand, Hans-Peter Friedrich, a mis en garde contre la création d’une nouvelle super-autorité européenne de protection des données et rappelé que l’équilibre entre le niveau national et européen devrait encore être défini. De son côté, la France ne se montre pas favorable au principe d’une seule autorité compétente, qu’elle soit nationale ou européenne. Paris défend ainsi la mise en place d’un mécanisme de codécision "qui associerait l'ensemble des autorités nationales chargées de la protection des données", ce qui serait "la solution optimale", a plaidé Christiane Taubira, la ministre française de la Justice, dont la proposition n’a pas suscité un large soutien parmi ses homologues. L’Irlande notamment s’y est montrée opposée, arguant que cela "risqu[ait] d'ajouter de la complexité et de paralyser le processus de décision", a soutenu le ministre irlandais Alan Shatter.

Dublin milite en faveur d’une autorité unique nationale compétente pour trancher les litiges, au nom de la cohérence par rapport à l’objectif d’harmonisation des règles. Mais ses partenaires savent que l'autorité irlandaise de protection des données est peu encline à agir contre les grandes plateformes américaines installées en nombre sur son territoire. Comme le rapporte l’AFP, Dublin avait opposé une fin de non-recevoir en juillet à une demande d'enquête sur la transmission de données obtenues par les groupes Facebook et Apple pour leur utilisation par le programme PRISM de surveillance américain.

Des travaux d'experts à poursuivre

Le Royaume-Uni, pour sa part, a rejeté la proposition de la Commission jugée "irréalisable". Le ministre britannique Chris Grayling a par ailleurs mis en garde contre des "réponses hâtives" qui pourraient se révéler "dangereuses" à l’usage pour les citoyens, les entreprises et les PME. "Le débat montre qu'il y a encore beaucoup, beaucoup de travail à faire", a-t-il commenté.

"Une majorité d’Etats membres ont indiqué que les travaux d’experts devraient se poursuivre sur le modèle de supervision unique dans lequel la décision est prise par l’autorité du pays dans lequel est hébergé le siège principal [de l’entreprise visée], tandis que la compétence exclusive de cette autorité pourrait être limitée à l’exercice de certaines compétences", précisent les conclusions du Conseil publiées à l’issue des débats. 

Viviane Reding a dit désormais espérer qu'un texte de compromis serait soumis aux ministres en décembre 2013 pour qu'une décision puisse être prise avant les élections européennes de mai 2014. La commissaire en charge de la justice a d’ailleurs appelé les Etats membres à accélérer le tempo "après une discussion qui a déjà duré 18 mois". Mais si un accord politique semble pouvoir être dégagé d’ici décembre sur le sujet du guichet unique, d’autres points du paquet de réforme sur la protection des données restent en suspens, comme  le montant des sanctions à infliger aux entreprises qui violeraient les nouvelles règles ou le sujet du droit à l’oubli.

Les prochaines étapes prévues sont le vote en commission LIBE (libertés civiles, justice et affaires intérieures) du Parlement européen sur le mandat de négociation avec la Commission. Une fois que le Conseil aura trouvé de son côté un accord sur un texte, et si les positions du Parlement et du Conseil divergent, alors débuteront des négociations dites en "trilogue" entre le PE, la Commission et le Conseil.

Toujours en matière de protection des données, les ministres ont eu un échange de vues sur les activités américaines d’espionnage numérique. Pour Octavie Modert il est essentiel d’avoir le plus de clarté possible sur l’étendue des programmes américains. La ministre luxembourgeoise a souligné que cette affaire montre qu’une réforme de qualité des règles européennes en matière de protection des données est primordiale et que les travaux en cours doivent progresser à un rythme soutenu.

Le droit d'accès à un avocat adopté et le parquet européen en débat

Un deuxième débat d’orientation a porté sur la création d’un parquet européen, un projet qui a été présenté par la commissaire Reding et qui faisait là l’objet d’une première discussion au Conseil. Celui-ci devrait avoir pour mission de rechercher et de poursuivre notamment devant les juridictions les auteurs d’infractions portant atteinte aux intérêts financiers de l’Union.

Octavie Modert a salué cette initiative, rappelant que le Luxembourg soutenait le modèle proposé par la Commission et que le Grand-Duché, en tant que "capitale judiciaire de l’UE", était le mieux placé pour accueillir le siège de la potentielle future institution.

Enfin, le Conseil JAI a validé la proposition de directive de la Commission européenne garantissant le droit d’accès à un avocat pour tous les citoyens de l'Union européenne faisant l'objet d'une procédure pénale, qui a ainsi été formellement adoptée. Le Parlement européen avait déjà voté le texte le 10 septembre (MEMO/13/772). Concrètement, le droit d'être assisté par un avocat dès les premiers stades de la procédure pénale, et jusqu'à la fin de celle-ci, sera à l'avenir garanti à tous les suspects — où qu'ils soient dans l'Union européenne. Selon les nouvelles dispositions, tout suspect en détention aura la possibilité de communiquer avec sa famille. Les citoyens se trouvant à l'étranger auront par ailleurs le droit de prendre contact avec le consulat de leur pays.