Le dossier de la réforme de la protection des données dans l'UE a fortement avancé en quelques jours. Après une réunion de négociations le 16 octobre 2013 entre les groupes politiques au Parlement européen au cours de laquelle un consensus a pu être trouvé sur des amendements de compromis, le rapporteur, l’eurodéputé vert allemand Jan Philipp Albrecht a présenté le 17 octobre et mis en ligne le résumé de l’accord trouvé. Mais, comme le rapporte l’Agence Europe, le compromis trouvé ne préjuge pas de l'issue du vote, qui devrait maintenant avoir lieu le 21 octobre 2013 à la commission LIBE. Le rapporteur se veut "encore prudent", même s’il dit qu’il existe "une chance réaliste qu'un accord global sur la réforme intervienne avant les élections européennes" du 25 mai 2013. Il s’agit selon lui ici d’"un objectif partagé par tous les groupes" politiques au PE.
Dans son texte, Jan Philipp Albrecht esquisse brièvement la situation actuelle : "Les 28 États membres de l’Union européenne adoptent leurs propres lois fondées sur la directive de 1995. La mise en œuvre, différente dans chaque État membre a conduit à un niveau inégal de protection et à un patchwork de règles sur la protection des données dans l'UE."
Partant de là, il exige "les mêmes normes pour tous". Pour lui, le règlement dans un cadre général consacré à la protection des données dans l'Union qui devra remplacer la directive de 1995 doit mener "à une harmonisation intégrale au niveau le plus élevé et garantir la sécurité juridique et un niveau uniforme et élevé de protection des personnes en toutes circonstances." Et il continue: "Ainsi, les entreprises seront empêchées de choisir leur siège dans l'État membre avec les plus bas niveaux de protection des données ('forum shopping'). Mais la proposition de réforme va encore plus loin: à l'avenir, des normes européennes de protection des données devront être appliquées une fois que les données des citoyens européens seront traitées - tant à l'intérieur qu'à l'extérieur de l'UE."
Vient ensuite la liste de ses « principales revendications »:
"Les droits à l’effacement, à l’information et à la rectification : Celui qui veut que ses propres données personnelles soient supprimées de l'environnement numérique, doit avoir un "droit de supprimer" contre Google, Facebook et autres. Celui qui a publié les données d'une personne de manière illégale doit également assurer que chaque copie de ces données soit effacée. Le rapporteur et les groupes politiques appellent à un juste équilibre entre la liberté d'expression et d'information et la protection des données personnelles. Les contextes dans lesquels les données personnelles sont traitées doivent être indiqués sur demande par voie électronique en langage clair, gratuitement et rapidement."
En clair, cela veut dire que 'droit à l'oubli' prôné avec insistance par la commissaire européenne Viviane Reding, en charge du dossier, n’a pas fait l’unanimité entre les groupes politiques. Le secteur numérique international avait par ailleurs en amont expliqué que le ‘droit à l’oubli’ serait techniquement impraticable. Le texte soumis au vote prévoit donc, au lieu du « droit à l’oubli’, un 'droit à l'effacement' des données d’une personne qui le demande. Par ailleurs, « chaque copie de ces données devra être effacée », même si cela n’implique pas la garantie qu’aucune de ces données ne puisse pas être repérée quelque part sur Internet.
L’Agence Europe rapporte encore que "la rétention de données sur la durée ne sera possible que si elle s'avère nécessaire à la recherche scientifique, historique, aux études statistiques ou encore aux administrations publiques, les services de santé par exemple, ou pour des principes de liberté d'expression/de la presse."
"Le consentement explicite: Si un fournisseur de services souhaite traiter des données personnelles, il doit toujours demander aux utilisateurs s'ils sont d'accord avec le traitement et la diffusion de leurs données. Les conditions d'utilisation devraient être présentées de façon simple et compréhensible. En remplacement de conditions générales très longues et incompréhensibles, des symboles standardisés peuvent simplifier l'accord ou le rejet. Les fournisseurs sont seulement autorisés à créer des profils d’utilisateurs si les utilisateurs indiquent à travers les paramètres de confidentialité de leur navigateur web qu’ils sont d’accord. Des normes techniques applicables doivent être certifiées au niveau européen."
En pratique, cela veut dit qu’un profil Google + ne peut être créé que si l'internaute dit dans les paramètres de confidentialité accepter cette page de Google. Actuellement, Google impose cette vitrine dès que l’on veut utiliser ses services, comme sa messagerie.
"Information et transparence : En exigeant plus d'informations, le rapporteur et les groupes politiques vont bien au-delà de la proposition de la Commission européenne. Les utilisateurs, doivent également recevoir des informations complètes sur la façon dont leurs données sont traitées ou quand le fournisseur a transmis des informations à la police ou aux services de renseignement. "
"Transferts de données à destination de pays tiers : Après les révélations du whistleblower (lanceur d’alerte) Edward Snowden, les groupes politiques ont accepté que les entreprises comme Google ne puissent transférer des données personnelles que s’il existe une base juridique en droit européen. Cela veut dire que sans accords concrets avec les pays concernés, il ne peut y avoir de transfert de données personnelles par les entreprises de télécommunications et Internet. Cette référence a été incluse dans le premier projet de la Commission, puis supprimé du projet présenté publiquement après un lobbying intense de la part du gouvernement américain. Maintenant, la référence a été à nouveau incluse dans le texte."
Comme les derniers mois et les discussions au Parlement européen l’ont révélé, les transferts opérés avant tout par les grandes compagnies US, avaient été effectués à l’insu des personnes concernées et des Etats européens. Le compromis négocié le 17 octobre demande que ces transferts ne puissent plus s’effectuer que sur une base légale dans le cadre du droit européen. La base légale actuelle est l'accord "Safe Harbor", mais cet accord est non- contraignant et basé sur la seule confiance envers les entreprises US. La suspension de cet accord, tout comme de l’accord SWIFT sera soumise au vote lors de la session plénière du Parlement européen entre 21 et le 24 octobre. En présentant sa proposition de règlement en janvier 2012, la Commission européenne était déjà allée dans ce sens, puis, face à certaines résistances, cette approche de la question des transferts de données vers des pays tiers avait été abandonnée. La révélation des activités d’espionnage de la NSA des USA dans le cadre de l’affaire Snowden a changé la donne. Les groupes politiques du Parlement européen ont repris l’idée de la Commission. Comme le rapporte l’Agence Europe, "le règlement interdira en tout cas aux compagnies américaines de transférer des données européennes aux services américains sur la base du Patriot Act. Les activités de renseignement et tout ce qui relève de la sécurité nationale ne sont toutefois pas couvertes par ce règlement."
"Des définitions capables de durer au-delà des changements futurs de la règlementation : Toutes les informations qui sont directement ou indirectement attribuées à une personne ou qui peuvent être utilisées pour filtrer une personne à partir d'un grand nombre de personnes sont considérées comme des données personnelles et doivent être protégées. Cela est d’autant plus important qu’il y a la pratique des 'big data', où des banques de données sont fusionnées, combinées et évaluées."
"Sanctions en cas de violation : Les infractions ne sont pas bénignes et les sanctions devraient être sévères. Le rapporteur et les groupes politiques souhaitent que les entreprises payent de fortes amendes si elles ne respectent pas la nouvelle loi. Dans le cas des grandes entreprises, celles-ci peuvent atteindre plusieurs milliards d’euros et vont empêcher que les entreprises intègrent d’avance des violations de données personnelles dans leurs activités."
"Privacy by Design/Privacy by Default : Les entreprises doivent concevoir leurs services de telle manière que la protection des données et de la vie privée soit introduite par défaut et dès la conception. La mise en avant du principe de lier et de limiter la collecte de données à une finalité préétablie signifie que seules les données nécessaires pour fournir le service demandé pourront être collectées. Il doit également être possible d'utiliser les services anonymement et sous un pseudonyme."
"Moins de bureaucratie: La nomination d'un délégué de la protection des données doit non seulement se baser sur la taille des entreprises, mais également et principalement sur l'importance du traitement des données. Les notifications préalables aux autorités de contrôle devraient être limitées dans le but de réduire la bureaucratie. Un délégué de la protection des données sera mis en place dans toute l'Europe et sera obligatoire à partir d'un certain seuil. »
Ce seuil serait de plus de 5000 clients/citoyens. Il serait par ailleurs tenu compte du risque inhérent à l'activité de l’entreprise concernée.
"Exécution uniforme de la loi: Une autorité de contrôle européenne de la protection des données doit imposer le droit de manière plus efficace et peut prendre des décisions qui étaient auparavant aux mains des autorités nationales de protection des données – à l’instar de ce qui se fait pour le droit européen de la concurrence et de la supervision bancaire de l'UE. Ainsi, une 'course vers le bas' dans les États membres où l’application de la loi est faible ne sera plus possible à l'avenir. La nouvelle autorité de protection des données de l'UE devra néanmoins pouvoir soutenir les autorités nationales. En général, les autorités de protection des données auront besoin de plus de personnel et de plus de budget.2
"Un interlocuteur désigné à l'échelle européenne: l’approche"one-stop-shop" ou de guichet unique signifie que les citoyens et les entreprises à travers l'UE peuvent s'adresser à l’autorité de protection des données dans leur État membre. Les entreprises devront seulement coopérer avec l'autorité de protection des données de l’Etat membre dans lequel se trouve le siège de leur société. Pour les questions controversées, ce sera l’autorité de contrôle de protection des données de l’UE nouvellement créée qui aura le dernier mot, et non la Commission européenne. Ainsi l'indépendance des autorités de protection des données sera maintenue."
Jan Philipp Albrecht a expliqué à la presse qu’il a dû faire des concessions, par exemple sur les conditions dans lesquelles les responsables de la protection des données dans les entreprises sont désignés, mais il a assuré n’avoir fait aucune concession qui aurait affaibli les droits des citoyens européens. Selon lui, le nouveau compromis renforce au contraire ces droits. Par ailleurs, il est d’avis que le compromis obtenu, que d’aucuns avaient jugé improbable, renforce la position du Parlement européen en vue de la négociation avec les Etats membres à travers le Conseil, où l’Allemagne notamment est très critique à l’égard de la réforme. Le PPE voit de son côté dans le texte négocié un bon compromis entre les droits fondamentaux et les intérêts des entreprises.
Le 21 octobre, il y aura donc un "vote d’orientation" à la commission des libertés civiles, de la justice et des affaires intérieures (LIBE) sur le mandat de négociation. Il appartient ensuite au Conseil d’adopter une position commune. Ce n’est qu’ensuite que le trilogue entre le Parlement européen, le Conseil de l'Union européenne et la Commission européenne pourra commencer. A noter que le Conseil européen du 24 et 25 octobre 2013 traitera le sujet de "l'Agenda numérique".
Par ailleurs, la directive portant sur le traitement des données dans le cadre policier et judiciaire, l’autre texte du paquet de réformes, sera aussi mise au vote le 21 octobre 2013.