La Commission Vie privée et Droits de l’Homme numérique de l’UIA, l’Union internationale des avocats a organisé les 19 et 20 septembre 2014 un séminaire sur la protection des données dans la grande salle d’audience de la Cour de Justice de l'UE (CJUE). L’UIA est partie du constat que "la protection des données personnelles n’a jamais été autant au cœur des préoccupations européennes et mondiales", notamment avec les deux arrêts retentissants de la CJUE, celui du 8 avril 2014 qui invalide la directive 2006/24/CE sur la conservation des données et celui du 13 mai 2014, dit Google Spain, qui consacre un droit à l’oubli pour les moteurs de recherche, et la réforme en cours de la législation de l’UE en la matière.

Elle a estimé nécessaire que "les responsables de traitement, les délégués à la protection des données, les services de compliance, les responsables de la sécurité des systèmes d’information, les juristes et avocats" se préparent à cette réforme d’envergure et aux changements qu’elle entraîne". D’où ce séminaire qui a offert des approches aussi bien juridiques que pratiques "sur les principales évolutions des règles existantes afin d’aider les entreprises et juristes à mieux les appréhender."

Le droit à l’oubli – Un concept à préciser

Dans un discours d’introduction, la commissaire européenne par intérim en charge de la Justice et des Droits fondamentaux, Martine Reicherts, a estimé que l’arrêt Google rendu par la Cour de justice de l’UE, qui stipule que chaque personne a le droit de faire supprimer un lien contenant des informations personnelles, était "une décision historique sur le droit à l’oubli qui nous a permis de remuer les foules et secouer les esprits". Elle a affirmé que cet arrêt "marque une étape fondamentale dans le contrôle du droit fondamental des citoyens européens à la protection des données et que la Cour a pris "des positions tranchées et apporté éclaircissements utiles". Selon elle, la Cour a dû intervenir parce "il n’y a pas de règle moderne sur la protection des données, adaptée à l’ère de l’Internet". Elle s’est dit "sûre" que les travaux de la Présidence italienne permettront le début des trilogues en janvier 2015.

Paul Nemitz, le directeur pour les Droits fondamentaux et la citoyenneté de l’Union européenne au sein de la direction générale (DG) Justice de la Commission européenne, qui est aussi le principal négociateur de l’accord "Safe Harbour" avec les USA, est allé dans son intervention un sens similaire quand il a abordé le sujet du "droit à l’oubli". Il pense que les jugements de la CJUE qui traitent de la protection des données se suffisent à eux-mêmes, et s’ils n’ont pas toujours été sur la même ligne que celle de la Commission, on les y a appréciés. Avec les arrêts Google et sur la rétention préventive des données, la CJUE a selon lui montré qu’elle a compris ce que pourra être le "futur numérique", ce qui est déjà en soi "une grande performance". Un autre trait important est que ces arrêts sont le fruit de procédures qui sont parties de "gens normaux", et que la CJUE a rempli son rôle de protéger les droits fondamentaux des personnes.  

La Commission, a-t-il assuré, n’a en fait jamais proposé un droit à l’oubli dans le sens littéral du terme, mais a voulu faire entrer dans le droit de l’UE l’obligation faite à un responsable du traitement de données de détruire les données d’un individu qui le demande au cas où ces données devaient être transférées à un tiers et de réguler les demandes de transfert de données vers une telle troisième partie. La Commission a proposé ce droit avec d’autant plus de force qu’il est devenu de plus en plus difficile pour un individu d’exiger que les données le concernant soient détruites. Cette obligation ne vise pas la perfection, mais exige du responsable du traitement des données concernées de fournir le meilleur effort possible pour répondre à cette demande. L’avenir dira quel sort les législateurs – le Conseil et le Parlement européen – réserveront au règlement proposé en janvier 2012 par la vice-présidente de la Commission de l’époque, Viviane Reding, qui est pour Paul Nemitz "une proposition raisonnable".

Abordant l’épineux dossier de "Safe Harbour", Paul Nemitz a évoqué le débat du 15 janvier 2012 au Parlement européen, au cours duquel Viviane Reding avait expliqué au nom de la Commission pourquoi celle-ci ne voulait pas suspendre l’accord avec les USA, et ce malgré la volonté du Parlement qui voyait les choses autrement. La NSA continue comme à l’époque de pratiquer la surveillance de masse, de brancher les câbles de télécommunications sous-marins qui relient l’Europe et les USA, et ce sans jamais invoquer une clause de sécurité ou d’exception. De l’autre côté, les hautes cours de justice européennes, comme celle de Karlsruhe, exigent avec force le respect du secret de la correspondance par quelque support que ce soit. La nouvelle Commission veut rebâtir la confiance avec les USA en misant sur un "Safe Harbour" renégocié et une cessation de la surveillance de masse du côté américain. Mais pour y arriver, elle aura besoin du soutien des gouvernements nationaux et des autorités nationales de protection des données.

Cécile de Ternwangne qui enseigne le droit à l’Université de Namur, pense que le droit à "l’oubli" qui est entretemps plutôt devenu celui à l’effacement ne résout pas tous les problèmes et reste un concept "réducteur et trompeur". Conserver les données est moins cher pour les opérateurs que devoir en détruire de manière sélective. Par ailleurs, Internet fonctionne à l’inverse de la mémoire humaine qui est, elle, dotée de la faculté de l’oubli. Une recherche fait émerger nombre d’informations sur un individu que la demande n’avait pas l’intention de consulter, et les sort du contexte. D’où ce droit, nouveau dans la proposition de règlement de la Commission, qu’un individu puisse demander que certaines données le concernant soient effacés après un certain délai. Il ne s’agit pas de réécrire l’histoire de cet individu, mais de veiller à ce qu’il ne soit pas réduit à son passé.

Mais cette maîtrise des informations sur soi n’est pas absolue, souligne la professeure. Si ces informations sont demandées par un tiers, droits et intérêts de l’individu et du responsable du traitement des données sont mis en balance, mais sous l’angle de la protection des personnes. Dans l’arrêt Google Spain de la CJUE, ces deux éléments sont fortement présents. La CJUE a par ailleurs émis des principes et critères dans ces arrêts, précise la professeure namuroise, où il est question des intérêts publics, de l’actualité de la chose, de la notoriété des personnes impliquées et du type d’infraction par exemple qui a pu être commise. En fait, "le règlement proposé par la Commission ne fait que reprendre ce que la CJUE a dit auparavant", conclut l’experte, sachant que la Cour ne se voit guère volontiers dans un rôle de législateur par ricochet, "mais elle a pris ses responsabilités sociétales et a été audacieuse".   

Aux USA : un "patchwork" législatif qui affecte la sécurité juridique

Le bâtonnier du barreau de Luxembourg, Rosario Grasso, a pour sa part estimé "qu’il n’y a[vait] pas de protection des données à l’heure de la NSA". Une "boutade", a-t-il de suite précisé, du moins pour ce qui est de l’UE, car aux USA, la réalité serait bien différente.

Revenant sur le "vaste" cadre juridique européen relatif à la protection des données, Rosario Grasso a notamment cité la jurisprudence de la Cour européenne des droits de l’Homme (CEDH) "qui a eu l’intelligence d’insérer la protection des données dans l’interprétation de l’article 8 de la Convention européenne des droits de l’Homme [qui ne prévoit pas explicitement ce droit, ndlr] sur le droit au respect de la vie privée" tout en le subordonnant à des conditions strictes, précise-t-il, notamment dès 1978 dans un arrêt relatif à une affaire d’écoutes téléphoniques.

Tous les arrêts qui ont suivi "ont été fondamentaux" et sont à la "base des décisions actuelles aussi reprises par la jurisprudence de la Cour de Justice de l’UE", ajoute le bâtonnier. Au niveau des Etats membres ainsi que de l’UE, des possibilités de recours contre toute violation en matière de protection des données personnelles existent en conséquence et sont "effectives", assure-t-il.  "L’arrêt Google ainsi que l’arrêt sur la rétention des données montrent que ces recours sont effectifs et qui donnent lieu à de la jurisprudence révolutionnaire qui marque très bien son temps", estime Rosario Grasso selon lequel "les résultats auraient été certainement très différents" si ces affaires avaient été jugées aux USA.

Les USA justement, contrairement à l’UE, n’ont pas de législation "uniforme" en la matière "ce qui affecte la sécurité juridique" selon le bâtonnier. Celui-ci évoque un "patchwork" législatif composé de différentes sources de droit privé tant au niveau fédéral que fédéré ainsi qu’un certain "freestyle" d’un Etat à l’autre où tant l’étendue que les finalités des législations varient. Par conséquent, les sanctions sont variables en cas de violations des lois. "Les sanctions relèvent essentiellement du civil, or des sanctions pénales font parfois des miracles", appuie-t-il.  Par ailleurs, relève le bâtonnier, il n’y a pas d’autorité dédiée au contrôle du respect des lois en matière de data protection aux USA : "A côté de l’autorité au niveau fédéral, il y en a d’autres à différents niveaux, notamment dans le secteur financier".

La différence d’approche de l’UE et les USA au sujet de la protection des données personnelles serait apparue au grand jour suite aux attentats du 11 septembre 2001, notamment concernant le programme SWIFT dont les données ont été exploitées secrètement, sans base juridique, par les USA. En 2006, le Parlement européen avait appelé au respect de la protection des données dans ce cadre avant de rejeter l’accord en 2009, ce qui a mené à un nouvel accord tenant compte de ses préoccupations. Les révélations, en 2013, d’Edward Snowden, relatives à la surveillance et la collecte de données personnelles de masse qui serait pratiquée par les USA entre autres en Europe ont encore montré des pratiques américaines très éloignées des standards européens.

A l'issue d'une enquête de sa commission des libertés civiles, le Parlement européen a condamné cette surveillance de masse et le traitement massif de données à caractère personnel comme contraire à la "loi". Le Parlement a notamment estimé que la lutte contre le terrorisme "ne peut en aucun cas justifier l'existence de programmes de surveillance de masse non ciblés, secrets, voire parfois illégaux".

Pour Rosario Grasso, il est dès lors nécessaire de "perfectionner, d’uniformiser et de globaliser" la législation relative à la protection des données personnelles en particulier au vu de l’absence de convention internationale UE/USA, de garanties et de protections suffisantes ainsi que de possibilité de recours effectif contre des abus ou agissements illicites des USA, conclut-il.

Dans l’UE, un modèle "fort" mais confronté aux nouveaux enjeux du numérique

Le secrétaire général de la CNIL (Commission nationale de l'informatique et des libertés, France), Edouard Geffray, a fait le constat que modèle européen de la protection des données est "fort", parce qu’il a placé la personne et ses droits au cœur du système, mais qu’il est confronté à de nouveaux enjeux par le numérique. Celui-ci permet en effet "un maillage de la vie publique et privée d’une personne qui est extrêmement fin" et ouvre des perspectives de surveillance "inédites par leur ampleur et leur granularité".

Le premier enjeu est, selon Edouard Geffray, d'assurer la souveraineté du droit européen, c’est-à-dire "faire en sorte que le droit s’applique aux ressortissants". "Notre critère du droit applicable, à savoir la localisation du responsable de traitement, n’est plus suffisant. Notre standard de protection, élevé, doit s’appliquer à l’ensemble des hypothèses dans lesquelles une personne résidant en Europe est "visée" par un traitement de données personnelles", estime-t-il. Il salue le projet de règlement européen, qui retient, selon lui, le critère dit du "ciblage" du citoyen. "Pour que notre souveraineté juridique s’affirme, il faut que la protection puisse suivre la donnée", affirme-t-il. "Un tel critère obligera tout responsable de traitement, même sans aucune attache physique ou logique en Europe, à respecter le droit européen à l’égard des Européens", poursuit-il, en estimant qu’un élément fondamental de souveraineté et de la crédibilité de l’action européenne est de "faire en sorte que le droit européen ne puisse être contourné lorsque les données des Européens sont en cause".

Le deuxième enjeu est "d’assurer un contrôle territorialisé d’un phénomène par nature déterritorialisé", explique Edouard Geffray, en appelant à garantir aux entreprises une "sécurité juridique maximale", c’est-à-dire une "homogénéité, une stabilité et une relative prévisibilité de la norme". Mais les entreprises devraient aussi comprendre que la protection des données constitue aujourd’hui un facteur clé de confiance pour le consommateur, notamment depuis les révélations d’Edward Snowden.

Le troisième enjeu est pour Edouard Geffray la complémentarité de trois piliers sur lesquels repose le contrôle de la protection des données : le citoyen, les autorités de protection et le juge. Le citoyen est le "premier dénominateur", juge-t-il, en évoquant de "nombreux cas" de démarches individuelles comme l’Autrichien Maximilian Schrems qui a porté plusieurs plaintes contre Facebook pour avoir conservé des données effacées. Ce contrôle devrait être consacré par un modèle de "double contrôle", estime Edouard Geffray : les autorités de contrôle qui reçoivent les plaintes individuelles qui ne nécessitent pas toutes le recours au juge et le juge qui aura vocation à trancher un litige "quand ça ne marche pas".

Les données personnelles : qu’est-ce ?

Maria Veronica Perez Asinari, qui est le chef des plaintes et du contentieux du Contrôleur européen de la protection des données (CEPD), a, elle, évoqué le droit à l’accès aux informations au sein des institutions européennes sur les données la concernant elle-même d’une personne considérée comme un informateur ou un lanceur d’alerte et sujette à une procédure. Elle cite le cas d’une personne qui a été déçue de ne recevoir en guise de réponse qu’une page qui citait les données concernant son identité, sa profession, des données de contact et son implication dans la procédure.

Le Contrôleur a donc entamé une analyse pour voir quels types de données étaient des données personnelles. Un document a été élaboré qui mentionne également les relations de la personne dans le cadre de son emploi, ses relations économiques et les évaluations de son comportement dans le cadre de son travail et des institutions européennes.

L’une des conclusions du Contrôleur : l’article 13 de la directive sur la protection des données encore en vigueur qui limite le droit à l’accès par une personne aux informations la concernant pour des raisons très précises – la sûreté de l'État; la défense; la sécurité publique; la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées; un intérêt économique ou financier important d'un État membre ou de l'Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal; une mission de contrôle, d'inspection ou de réglementation relevant, même à titre occasionnel, de l'exercice de l'autorité publique ; la protection de la personne concernée ou des droits et libertés d'autrui – semble ne pas être vraiment respecté.

La protection des données dans les services financiers            

Isabelle Chatelier, juriste et responsable de la politique législative du CEPD, s’est pour sa part penchée plus particulièrement sur la protection des données dans le domaine des services financiers, où "beaucoup de règles et standards sont définis au niveau international [ou] soumis à l’influence de règles adoptées par des pays tiers, comme les États-Unis".

De ce fait plusieurs propositions législatives de l’UE visent à transposer les normes adoptées au niveau international, par des instances propres au domaine financier telles que le Groupe d’action financière internationale (GAFI) ou par des instances internationales telles que l’OCDE ou encore des règles établies dans des pays tiers telle que la loi américaine sur la conformité des comptes étrangers (Foreign Account Compliance Act, FATCA). Or, au vu des traitements de données personnelles que ces mesures impliquent, il est "impératif d’assurer que les règlementations mises en place dans l’UE pour des objectifs légitimes, soient mises en œuvre dans le respect des normes applicables à la protection des données", estime-t-elle.

Comme le prévoit la directive de 1995, il s’agit notamment de veiller à ce que les mesures législatives adoptées dans ce domaine instaurent des traitements de données personnelles dans la mesure de ce qui est nécessaire et proportionné, qu’elles contiennent des garanties appropriées afin de protéger les données personnelles (base légale justifiant le traitement de données, respect du principe de limitation de finalités, exactitude des données, interdiction de collecte de données sensibles sauf permis par la loi dans un cadre précis, etc.).

Concernant plus particulièrement les clients, un aspect fondamental du respect des droits des personnes est d’assurer l’information suffisante du client, au moment de la collecte, de la finalité pour laquelle ses données sont collectées et traitées. La problématique de la réutilisation de données recueillies afin de répondre à une obligation légale se pose. "Les responsables de traitement doivent prendre les dispositions nécessaires pour assurer cette transparence vis-à-vis des clients", souligne Isabelle Chatelier.

Outre le droit d’information, le client dispose également d’un droit d’accès à ses données personnelles, entre autres afin de pouvoir exercer son droit de rectifier ou de faire effacer des données qui ne seraient pas traitées en conformité avec la directive, en particulier parce qu’elles sont incomplètes ou inexactes.

Le droit des individus à la protection de leurs données est fondamental et ne peut être limité que dans les conditions strictes fixées par la Charte des droits fondamentaux et la directive. Le recours à cette limitation doit rester exceptionnel, sur la base d’une nécessité prouvée et justifiée et dans la mesure de ce qui est strictement nécessaire, notamment être limité dans le temps.

La protection des données dans la pratique

Plusieurs grandes entreprises, et pas des moindres, issues des secteurs de la consultance (Deloitte), de la finance (Euroclear), de la sidérurgie (Arcelor-Mittal), de l’informatique (Microsoft) et du web (Google) avaient envoyés des représentant(e)s pour parler de la pratique de la protection des données.

Deloitte : Identifier et intégrer le risque

La représentante du consultant global Deloitte, Georgia Skouma, a mis en avant les risques d’une faille dans la protection des donnés pour l’entreprise en terme de confiance, de réputation, d’image, de dommages aux infrastructures informatiques, de pertes de revenus et de frais à payer pour dédommager d’éventuelles victimes. Les entreprises doivent résolument identifier les risques majeurs qu’elles courent, les évaluer, les intégrer dans leur pratique, y répondre, mettre en place des procédures de contrôle. S’il n’y pas une implication des cadres dirigeants dans cette culture de la prise en compte du risque, les parties prenantes au sein de l’entreprise risquent de ne pas la pratiquer.

Euroclear : Pallier aux malentendus sur la nature des données personnelles au sein de l’entreprise

Olivier Goffard d’Euroclear a illustré toute la dimension des risques en citant quelques chiffres concernant son entreprise qui travaille dans la conservation de titres et la gestion des dividendes et des droits de vote : 24,2 billions de titres, 572 billions de transactions, 4 millions de clients, une présence dans 15 pays et un contact avec 20 régulateurs. Dans un tel contexte, "la protection des données doit devenir une valeur active dans le groupe", estime-t-il. Mais qu’est-ce qu’une donnée personnelle pour le groupe? Une question qui a soulevé des "défis surprenants". Pour certains à l’intérieur, tout ce qui est contenu sur un disque dur, dans un courriel, toutes les données d’un client constituent des données de l’entreprise, et pas des données personnelles qu’il faut protéger particulièrement. Le groupe est aussi concerné par le statut égal des données transférées par exemple en Inde pour être y traitées par des sous-traitants. La question de la protection des données personnelles et des droits des 4 600 employés est également posée.

ArcelorMittal : Se mettre en conformité malgré tout

Emmanuel Cauvin a illustré la manière dont le transfert de données transfrontalières au sein d’un groupe sidérurgique global se fait et comment il est perçu par les parties prenantes. Il est considéré d’abord comme "un partage de données" plutôt qu’un transfert de données. Dans la sidérurgie, les données concernent le fonctionnement de processus et la production. Ce sont des notions factuelles, elles désignent des données qui ne sont pas des données personnelles. La sidérurgie existait avant Internet. Donc, dans la sidérurgie, la protection des données personnelles n’était pas un "sujet naturel", mais c'est un sujet qu'il faut traiter, compte tenu notamment de la taille du groupe, présent à l'échelle mondiale. Le sujet des données personnelles chez ArcelorMittal est à la fois limité et global. Le groupe sidérurgique a décidé d'élaborer des Binding Corporate Rules (BCR ou règles internes d'entreprise) avec l’aide de la Commission nationale de protection des données luxembourgeoise (CNPD) et qui ont dû être validées par les autorités nationales de protection des données de 25 Etats membres, un processus qui a positivement abouti en 2013 et qui se poursuit aujourd'hui à travers les travaux d'implémentation de ces BCR.

Microsoft : Se protéger contre les accès illégaux des gouvernements aux données stockées

Pour Microsoft, les différents niveaux de protection des données dans le monde sont une des "complexités" principales pour les entreprises qui opèrent dans le monde entier, selon les propos de Cornelia Kutterer, directeur de la police réglementaire de Microsoft en Europe, au Moyen-Orient et en Afrique. Bien que Microsoft ait son siège aux USA, la compagnie ne se considère pas comme tombant hors du champ d’application de la législation européenne. Mais elle se pose la question comment celle-ci va s’appliquer à un moment où elle-même se transforme en "cloud" et que l’on a raté des occasions pour légiférer sur la question de la nature équitable du recours aux données et la "minimisation des données alors que le nombre des objets connectés augmente de manière exponentielle et atteindra le nombre 30 milliards en 2020. D’où aussi des "conflits de valeurs à base territoriale" qui posent problème aux grandes compagnies, ce en allusion aux tentatives de certains pays à avoir accès à des données stockées sur des serveurs dans d’autres pays.

Elle cite le Brésil ou le Royaume-Uni qui ont introduit des lois dans ce sens. Ou encore la décision d’une juge fédérale américaine obligeant Microsoft à fournir des e-mails stockés en Irlande aux autorités américaines dans le cadre d’un mandat de perquisition. A noter que Microsoft a deux serveurs en Europe, en Irlande (pour l’Europe du Nord) et aux Pays-Bas (pour l’Europe de l’Ouest). Selon la juge, l’importance n’est pas où les données sont stockées, mais qui en a le contrôle. Cette interprétation avait suscité les inquiétudes de l’ancienne commissaire européenne à la Justice Viviane Reding, qui a jugé, dans une lettre adressée le 24 juin 2014 à l’eurodéputée Sophie in’t Veld, que  cette "application extra-territoriale d’une législation étrangère" pourrait constituer une "violation du droit international".

Selon Cornelia Kutterer, Microsoft a salué le fait qu’il y ait plus de réglementation dans le domaine de la protection des données : "On a considéré qu’une harmonisation est bénéfique pour nous et nos clients". Confrontée au risque de perdre des clients, l’entreprise aurait été obligée d’être plus véhémente à demander une réforme de la protection des données. Microsoft n’a par ailleurs jamais donné aux autorités de sécurité  un accès illégal aux données de ses clients, a affirmé Cornelia Kutterer.

Selon elle, des entreprises comme Microsoft et Google ont été capables de "forcer" le gouvernement américain à leur permettre d’être "plus transparent" sur les demandes d’accès aux données qu’ils reçoivent et ont mis en place des firewalls pour s'assurer que les gouvernements n’aient un accès à ces données qu’après une demande. Des avancées qui sont dues aussi, estime-t-elle, aux révélations d’Edward Snowden. Pour éviter que des gouvernements interceptent les données et pour les forcer à emprunter les voies légales, Microsoft voudrait "accroître la protection" en améliorant la technologie, a-t-elle soutenu, en ajoutant qu’il faut un "dialogue global" pour adresser ces "défis". Reste que sa société est la plupart du temps prise entre le marteau et l’enclume 

Google : "presque un travail de justice" dans le cadre d’un "programme d’urgence de mise en conformité"

Peter Fleischer, responsable juridique pour la protection des données personnelles chez Google-France, a exposé les défis auxquels était confronté Google après l’arrêt Google Spain qui stipule que chaque personne a le droit de faire supprimer un lien contenant des informations personnelles. "On s’est réuni la minute qui suivait le verdict pour réfléchir comment l’appliquer. Pas une seconde on n’a  douté du fait que ce verdict s’applique à nous", s’est rappelé Peter Fleischer. Google était alors obligé de mettre en place "en urgence" et "de toute pièce" un "programme d’urgence de mise en conformité". Et pour les cas compliqués, un comité consultatif d’experts composé d’une "gamme de personnalités" comme un ex-ministre de la Justice allemand, le fondateur de l'encyclopédie libre Wikipédia et d’autres experts, a été créé qui doit lui aussi "trouver pour chaque demande de suppression de lien un juste équilibre entre les critères qui plaident en faveur de la vie privée et ceux de l’accès du public à cette information".

En raison des "critères vagues" que la Cour a fourni, selon lui, ce serait à Google d’élaborer ces critères et de peser les différents facteurs : "Nous faisons presque un travail de justice". Le problème est "qu’on entend seulement une partie" et "qu’on manque souvent d’informations supplémentaires", a ajouté Peter Fleischer, en citant comme exemple un conflit d’intérêt entre les éditeurs et les personnes qui veulent faire supprimer des articles de presse sur des condamnations pour des crimes. "Les personnes concernées ne sont pas forcément motivées à tout nous dire", estime-t-il, en évoquant des "cas très difficiles et hyper-compliqués" comme celui d’un marchand ayant été condamné pour fraude.

Pour pouvoir demander la suppression d’un lien, Google a créé un formulaire en ligne. Près de 120 000 demandes ont été adressé à Google depuis l’arrêt rendu en mai, soit 1 000 par jour, a expliqué le responsable, ajoutant que les Français étaient la première nationalité représentée, suivis des Allemands.

Peter Fleischer a également évoqué la question de l’application extraterritoriale de l’arrêt Google : Pour Google, l’arrêt s’applique seulement aux liens repérés par les opérateurs européens (comme Google.fr ou Google.de) – un lien critique sera dont seulement supprimé sur ces sites, mais pas sur les opérateurs non-européens comme Google.com, a expliqué le responsable : mais il estime qu’il y aura un débat sur l’applicabilité mondiale de ce principe, puisque dans les cas actuels, "les personnes concernées n’auront pas retrouvé le droit à l’oubli".

Lors de la discussion qui suivait, la question sur la légitimité de Google de décider sur la suppression de liens a été posée, notamment quand il s’agit d’articles de presse, car ici, la liberté de la presse est en jeu. Il faut par exemple en cas de liens vers un crime commis par un demandeur, se poser la question  de la nature de ce crime, si le demandeur était mineur ou majeur, si le crime est récent ou a été commis il y a longtemps, s’il est pertinent pour la profession actuelle du demandeur, etc. De véritables critères doivent être élaborés. Cette tâche ne devrait pas être exercée par Google dans son intérêt privé, dans le sens où dire non pourrait "mener à un contentieux qui peut coûter cher", ou "dire oui, c’est la solution la plus simple", mais aussi dans l’intérêt du public.

A noter que la CNPD luxembourgeoise vient de publier suite à l’arrêt Google Spain sur son site Internet un vadémécum sur le droit à l’oubli et la manière de procéder pour effacer certaines traces de soi sur la toile.

L’ancien bâtonnier du barreau de Paris, Christiane Feral-Schuhl, a soulevé le problème des condamnations juridiques qui ont été effacées sur le casier judiciaire d’une personne, mais qu’on retrouve toujours sur Internet sous forme de publication judiciaire. Elle s’est dite "choquée" du fait que "la prescription légale n’existe pas sur Internet", tout en estimant que la prescription constitue un critère qui "devrait être posé et qui permettrait de faire respecter cette règle fondamentale".

Rosario Grasso, bâtonnier du barreau de Luxembourg, a reconnu à Google une "intelligence pratiquement juridique", en estimant que l’opérateur de recherche a été "bien conseillé" puisqu’il "met en avant ce qui nous est le plus cher" et qu’il s’y prend "de manière pertinente". L’exemple de suppressions controversées d’articles de presse et la constitution d’un comité d’experts montreraient bien que "la solution à apporter n’est pas facile à mettre en œuvre".

Un autre sujet évoqué dans la discussion était l’encryptage des données, "la piste la plus prometteuse" pour le responsable de Google, Peter Fleischer. Pour la responsable de Microsoft, Cornelia Kutterer, l’encryptage joue un "rôle significatif".

Dans ses conclusions, le Contrôleur européen se montre confiant que les droits liés à la protection des données personnelles seront intimement liés aux principes de la Charte des droits fondamentaux 

C’est Peter Hustinx, le Contrôleur européen de la protection des données, a qui était dévolu le rôle de présenter les conclusions du séminaire de l’UIA. Comme d’autres, il a mis en avant le rôle de plus en plus important que joue la CJUE en matière de protection des données. Il a également souligné l’importance croissante de la Charte des droits fondamentaux des citoyens de l’UE dans l’élaboration des nouvelles législations et la jurisprudence de l’UE. Elle lie depuis 2009 les Etats membres et l’UE quand ils agissent dans un contexte déterminé par la législation de l’UE. Elle peut également être invoquée par les avocats et sert au contrôle de la protection des données en livrant des critères.

"La réalité numérique" a produit de grands défis et la réforme de la protection des données qui est actuellement discutée au sein de l’UE est censée faire avancer les valeurs de la Charte en termes d’impact et de périmètre, estime le Contrôleur européen, car elle est une obligation qui découle de l’existence même de la Charte. Cela est d’autant plus important qu’il y a un environnement global et une interaction avec les toiles des autres continents qu’éclairent le scandale de la NSA et les faits sur lesquels Edward Snowden a attiré l’attention du monde entier.          

La protection des données selon Peter Hustinx sur plusieurs valeurs : d’abord le droit au respect de la vie privée et familiale, telle qu’il est inscrit dans la Charte des droits fondamentaux de l’UE et dans la Convention européenne des droits de l’homme, ensuite sur l’idée de protection des données personnelles. Ce sont deux concepts différents, mais qui ont en commun de découler d’’idées universelles comme la dignité et l’autonomie de la personne humaine. L’emphase est toujours mise sur la nécessité d’empêcher un impact sur la vie privée et la dimension personnelle. Jusque-là, on est parti de l’idée que la légitimité d’un traitement est établie aussi longtemps qu’il est équitable, que des choses qui ne le sont pas à l’égard d’une personne ne sont pas encore arrivées. Mais ce risque existe. La nouvelle réflexion sur la protection des données personnelles veut donc que celle-ci soit garantie d’emblée, et peu importe où le traitement a lieu. Pour Peter Hustinx, l’arrêt Google Spain a trouvé un nouvel angle d’approche dans ce sens. Il rend possible la mise en place de ponts avec le reste du monde quand il y a transfert ou partage de données. Il ouvre aussi la voie vers une coopération entre les autorités nationales de protection des données au niveau mondial.

La réforme de la protection des données qui est en cours de discussion contient elle aussi des nouveautés qu’a mises en avant Peter Hustinx : le renversement de la charge de preuve, la possibilité de l’action collective, des pas vers le droit à l’effacement des données, la portabilité des adresses, les notions de responsabilité et de contrôle des traitements de données, clairement définies. Les contrôleurs devront être soutenus  pour qu’ils mettent en place leurs mesures. Les responsables des traitements de données devront réagir dans des délais clairement définis. Les autorités nationales de protection des données (les DPA selon l’acronyme dans le projet) seront le cœur du système mais ils ne pourront pas travailler sans les responsables de la protection des données (DPO) qui seront les contrôleurs dans les entreprises, dont l’indépendance devra être garantie comme celle des DPA.

La question de savoir si le nouveau règlement ne sera pas déjà dépassé par les réalités au moment de son entrée en vigueur semble oisive à Peter Hustinx, pour la simple raison que le défis sera permanent, que le droit sur la protection des données entrera dans un perpétuel renouvellement pour rester consistant.

Le Parlement européen a déjà adopté le nouveau règlement, le Conseil réfléchit encore, mais le consensus au sein des parties prenantes est plus grand qu’on ne le pense, juge le Contrôleur européen. Il existe certes quelques problèmes : comment intégrer le secteur public, comment organiser les one-stop-shops, les guichets uniques, etc. Mais il y a une tendance forte à une coopération plus importante et à renforcer les DPA et les DPO. La CJUE et le Parlement se réfèrent fortement en la matière à la Charte des droits fondamentaux. Cela a d’ores et déjà permis de tracer des lignes rouges sur les questions de l’indépendance des contrôleurs, sur les guichets uniques, sur les sanctions. Exclure le secteur public du champ d’application sera difficile : la Charte serait invoquée car ce ne serait pas conforme aux droits qu’elle établit. Un paysage nouveau s’esquisse donc.