Le 12 mars 2014, le Parlement européen a adopté le projet de réforme sur la protection des données. Les eurodéputés ont ainsi adopté par 621 voix pour, dont celle de cinq députés luxembourgeois, le libérla Charles Goerens n'ayant pas partiicpé au vote), 10 contre et 22 abstentions, un projet de règlement qui couvre l'essentiel du traitement des données personnelles au sein de l'UE, secteur public et secteur privé inclus,  ainsi que, par 371 voix pour, 276 voix contre et 30 abstentions, une directive sur la protection des données qui vise à prévenir, détecter ou poursuivre les infractions pénales ainsi qu'à appliquer les peines.

"Les nouvelles dispositions visent à donner aux citoyens davantage de contrôle sur leurs données personnelles et de permettre aux entreprises de travailler plus facilement au-delà des frontières, en assurant que les mêmes règles s'appliquent dans tous les États membres", comme l’explique le communiqué de presse diffusé par le Parlement européen à l’issue du vote.

Avant de communiquer les données personnelles de citoyens européens à un pays tiers, toute entreprise (que ce soit un moteur de recherche, un réseau social ou un fournisseur de services d'informatique en nuage) aurait l’obligation de demander une autorisation préalable à une autorité nationale de protection des données dans l'UE. Chaque entreprise qui souhaite traiter des données à caractère personnel serait d'abord tenue d'obtenir le consentement libre, informé et explicite de la personne concernée.

Par ailleurs, la réforme introduit le droit à l'effacement des données. Elle pose de nouvelles limites à la pratique dite du "profilage", qui consiste à analyser ou prédire les performances professionnelles d'une personne, sa situation économique, sa localisation, etc… La réforme oblige par ailleurs à utiliser un langage clair et simple pour expliquer les politiques sur le droit à la vie privée.

Les autres apports de la position du Parlement, qui avait été adoptée au sein de la Commission LIBE le 21 octobre 2013, consistent dans  l’introduction du principe "privacy by design/privacy by default",  la nomination d'un délégué de la protection des données à partir de 5000 clients/citoyens concernés par l’entreprise,  une exécution uniforme de la loi par une autorité de contrôle européenne de la protection des données et la définition de l’autorité de protection dans l’Etat membre comme interlocuteur à l'échelle européenne dans le cadre de l’approche "guichet unique". Cette approche « guichet unique » est l’une des dispositions qui sont les plus disputées au Conseil, comme ce fut notamment le cas lors du Conseil JAI du 6 décembre 2013.

La proposition adoptée par les eurodéputés alourdit le montant des amendes imposées aux entreprises qui violent les règles et les fixent jusqu'à 100 millions d'euros ou 5 % de leur chiffre d'affaires annuel mondial. La Commission européenne avait proposé des sanctions allant jusqu'à un million d'euros ou 2 % du chiffre d'affaires annuel mondial.

Le Conseil mis sous pression

Désormais, la balle est dans le camp du Conseil. Et le rapporteur sur le règlement général concernant la protection des données, Jan Philipp Albrecht (Verts/ALE, DE) a d’ores et déjà mis la pression sur les Etats membres. "J'ai un message clair à adresser au Conseil: tout nouveau report serait irresponsable", a-t-il-dit. Il a même suggéré l’issue possible au cas des Etats membres traîneraient encore des pieds à l’avenir. "Les citoyens de l'UE attendent que nous adoptions un règlement européen solide sur la protection des données. Si certains États membres ne souhaitent pas arriver à ce résultat après deux ans de négociations, alors la majorité des pays de l'UE devrait poursuivre sans eux", a-t-il en effet dit.

"Chaque jour qui passe, sans mise à jour de l'actuelle mosaïque totalement disparate et complexe des règles européennes sur la protection des données, est un jour de plus aux dépens des citoyens européens et de leurs droits", avait par ailleurs prévenu l’eurodéputé écologiste, dans un communiqué de presse avant le vote.

Le rapporteur sur la directive relative à la protection des données personnelles à des fins répressives, Dimitrios Droutsas (S&D, EL) s’est lui aussi agacé tenu à rappeler qu’en raison de certains membres, il n’aura pas été possible d’atteindre l’objectif d’une adoption du Paquet avant la fin de la législature de ce Parlement. Le 27 janvier 2014, la commissaire européenne en charge de la Justice, Viviane Reding, avait en effet annoncé qu’il fallait tabler sur un accord au Conseil JAI de juin 2014, des négociations en trilogue avec le Parlement européen nouvellement constitué qui commenceraient sous présidence italienne, début juillet, et s’achèveraient par un accord à l’automne et, enfin, une publication au Journal officiel en décembre 2014.

L’eurodéputé luxembourgeois de Déi Gréng, Claude Turmes, s’est lui aussi exprimé par communiqué de presse qui souligne que le vote sur le règlement sur la protection des données témoigne qu’"un droit fort et entier à la protection des données est demandée pour l’Europe entière par tous les groupes politiques". Il regrette d’autant plus le "blocage" au Conseil : "Un petit nombre de gouvernements, et avant tout celui d’ Angela Merkel, en porte exclusivement la responsabilité", rappelle-t-il.

L'enjeu est pour lui la crédibilité de l’action politique européenne : "Il n’est pas possible que l’on adopte le sauvetage des banques et les accords commerciaux en procédure accélérée, tout en différant les décisions au sujet des intérêts et des droits des gens. Ainsi, nous ne protégeons que les intérêts des grandes entreprises américaines actives dans les technologies de l’information, qui au quotidien en Europe, négligent la protection des données, sans devoir craindre de sanctions sévères."

Dans un communiqué de presse, le groupe S & D s’est de son côté réjoui d’avoir apporté tout le poids de ses 194 voix dans l’adoption de la réforme et de « montrer ainsi aux citoyens européens et au monde entier que nous sommes sérieux quand nous nous engageons pour la protection de leurs droits fondamentaux".