Suite au compromis sur la réforme de la protection des données auquel les ministres de la Justice réunis en Conseil Justice et Affaires intérieures (JAI) sont arrivés le 13 mars 2015, le groupe de travail "Article 29", qui réunit les représentants des autorités de protection des données des Etats membres, le Contrôleur européen de la protection des données et la Commission européenne, s’est dit, dans un communiqué diffusé le 17 mars 2015, "préoccupé" par l’approche des ministres sur le chapitre II du projet de règlement général de protection des données.
Ce compromis consiste à permettre l'utilisation ultérieure, notamment à visée commerciale, des données d'un utilisateur sans accord supplémentaire de sa part. Il prévoit précisément que "lorsque la finalité du traitement ultérieur est incompatible avec celle pour laquelle les données à caractère personnel ont été collectées par le même responsable du traitement, le traitement ultérieur doit avoir pour base juridique au moins l'un des motifs mentionnés au paragraphe 1 par exemple, si la personne concernée a consenti sans ambiguïté au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, si le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci, si le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, ou encore si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne".
"Un traitement ultérieur par le même responsable du traitement à des fins incompatibles en raison d'intérêts légitimes dudit responsable du traitement ou d'un tiers est licite si ces intérêts prévalent sur les intérêts de la personne concernée", stipule encore le texte.
Le groupe de travail Article 29 s’est dit "très préoccupé par les dispositions proposées sur le traitement ultérieur, en particulier dans le contexte du big data". En effet, fait-il savoir, "il sera possible pour un contrôleur de données de continuer à traiter les données même si le but devait être incompatible avec le but originel, tant que le contrôleur a un intérêt majeur dans ce traitement".
Le groupe de travail considère que cette situation rendrait "nul et sans effet" le "principe de limitation de la finalité", un des "principes fondamentaux du cadre juridique de la protection des données". Ce dernier principe est entériné par l’article 8(2) de la Charte des droits fondamentaux de l’Union européenne, précise encore le communiqué du groupe de travail.
Cette approche "contredit l’acquis de l’UE en matière de protection des données" et serait "illégale" en vertu du cadre juridique actuel, font savoir les membres du groupe Article 29. En outre, elle viendrait "diluer" le niveau de protection des citoyens européens garanti par l’ancienne directive de 1995, toujours en vigueur.
Dans ce contexte, le groupe de travail appelle les Etats membres, la Commission et le Parlement européen à "prendre leurs responsabilités" et à "s’assurer que le libellé relatif au traitement ultérieur des données dans le chapitre II du futur règlement soit modifié et que le droit fondamental à la protection des données des citoyens européen soit adéquatement protégé."
L’orientation générale partielle retenue par les ministres le 13 mars devrait être validée lors du Conseil JAI du mois de juin 2015. Plusieurs délégations, également en désaccord avec le texte, espèrent, selon une dépêche de l’Agence Europe, que les négociations en trilogue avec le Parlement permettront d’améliorer le niveau de protection prévu par le texte.