Alors que les ministres de la Justice des Etats membres de l’Union européenne (UE), réunis en Conseil Justice et Affaires intérieures (JAI) à Luxembourg le 15 juin 2015, étaient parvenus à s’accorder sur une orientation générale dans le cadre du projet de règlement relatif à la réforme de la protection des données dans l’UE, les négociations en trilogue en vue de parvenir à un accord final ont débuté le 24 juin 2015.

Au cours de cette rencontre étaient présents l'eurodéputé en charge du dossier Jan Philipp Albrecht (Verts/ALE), le président de la commission des libertés civiles Claude Moraes (S&D), le ministre de la Justice de la Lettonie, Dzintars Rasnačs, pour la Présidence sortante du Conseil, le ministre luxembourgeois de la Justice, Félix Braz, pour la Présidence entrante du Conseil et la commissaire européenne à la Justice Věra Jourová.

Lors de la conférence de presse, le président de la commission des libertés civiles Claude Moraes (S&D) a rappelé les deux "priorités clé" du Parlement européen : d’une part le fait que les principes formulés par la directive relative à la protection des données de 1995 (directive 95/46/CE), sur laquelle se fonde la nouvelle législation, constituaient une ligne rouge pour le Parlement, et d’autre part le fait que la proposition de législation était composée d’un "paquet" de mesures et non pas d’une simple directive. L’eurodéputé a par ailleurs insisté sur le caractère "urgent" du dossier.

Jan Philipp Albrecht (Verts/ALE), le rapporteur du dossier, a quant à lui rappelé que le paquet de protection de données constituait "la pierre angulaire du marché unique numérique". De ce fait, l’objectif du Parlement européen est de "conclure rapidement, avant la fin de l’année" et donc de la Présidence luxembourgeoise. "Le premier trilogue a démontré que cet objectif est réaliste, que l’on pourra conclure dès lors que les trois parties travaillent dans esprit de compromis", a-t-il ajouté. Le prochain trilogue aura d’ailleurs lieu avant pause estivale, a encore fait savoir Jan Philipp Albrecht, qui s’est par ailleurs félicité que les trois textes sur la table étaient "très proches l’un de l’autre". Il y a de nombreux points d’accord, mais il subsiste quelques divergences, notamment sur le droit des consommateurs ou encore les obligations incombant aux contrôleurs des donnés, a-t-il encore dit, tout en s’avouant "confiant" sur le fait que les trois institutions "arriveront à les surmonter".

Lors de la séance de questions, Jan Philipp Albrecht a rappelé que toutes les parties s’étaient accordées pour dire que le niveau de protection de la directive de 1995 devait être garanti. "L’idée des partenaires de négociation est de parvenir à un plus haut niveau à partir de la directive de 1995", a-t-il indiqué. L’eurodéputé a également insisté sur le fait que les normes du texte soient respectées dès qu’une entreprise d’un pays tiers s’implante sur le marché européen et que ces règles couvrent aussi les transferts internationaux de données. "En tant qu’UE nous pouvons encourager d’autres pays à utiliser les mêmes règles que nous", a-t-il encore dit à ce sujet.

Pour ce qui est des sanctions à imposer aux entreprises qui ne respecteraient pas les règles de protection des données, le rapporteur a rappelé les divergences qui subsistent entre les institutions. Si le Parlement souhaite infliger des amendes pouvant aller jusqu’à 100 millions d’euros ou 5 % du chiffre d’affaires (pour se rapprocher de la législation sur la concurrence qui prévoit des amendes allant jusqu’à 10 % du chiffre d’affaires), la Commission et le Conseil ont parlé de sanctions à hauteur d’1 million d’euros ou 2 % du chiffre d’affaires. De telles sanctions ne seraient appliquées que dans des cas exceptionnels, a indiqué le rapporteur, rappelant que les trois institutions étaient d’accord pour une application de sanctions au cas par cas, suivant des critères objectifs. "Il y a encore une place pour le compromis", a-t-il indiqué.

Le ministre letton de la Justice, Dzintars Rasnačs, qui représentait la Présidence sortante, s’est dit "fier" de ce qui avait été pu être réalisé lors de ce dernier semestre. "Nous avons atteint notre objectif en adoptant aujourd’hui un document concret", à savoir une feuille de route en vue de conclure les négociations d’ici la fin de l’année, a-t-il encore dit, tout en appelant à "ne pas agir dans la précipitation" pour pouvoir atteindre un accord d’ici à la fin de l’année.

Le ministre luxembourgeois de la Justice, Félix Braz, s’exprimant en anglais au nom de la Présidence luxembourgeoise du Conseil qui débute le 1er juillet 2015, a de son côté souligné son "optimisme" et sa "détermination" en vue de conclure les négociations en trilogue sur l’ensemble du paquet de la réforme de la protection des données d’ici la fin de l’année 2015. Saluant le "travail important" de la Présidence lettonne qui a obtenu un accord sur une orientation générale sur le projet de règlement relatif à la protection des données, le ministre a indiqué que les trois parties étaient d’accord sur la nécessité d’adapter les règles actuelles et qu’il était désormais nécessaire "d’entrer dans la phase finale" des négociations.

Félix Braz s’est aussi félicité de l’accord des trois institutions lors de ce premier trilogue sur une "feuille de route" en vue de conclure les négociations d’ici la fin de l’année. La définition de ce plan qualifié de "flexible" constitue "une étape importante qui marque la volonté politique des trois institutions" de conclure dans le temps imparti. Le ministre a encore dit partager les objectifs de la réforme, à savoir de donner un meilleur contrôle aux citoyens sur leurs données personnelles, d’assurer une règlementation unifiée qui assure le même haut niveau de protection pour les 28 Etats membres et de faciliter l’action des entreprises dans le marché unique. A cet égard, Félix Braz a relevé que de nombreuses opportunités pour les entreprises étaient "plus liées qu’on ne le croit à un niveau de protection élevé des données personnelles". "Seul un haut niveau de protection peut donner les garanties nécessaires pour que les citoyens fassent  confiance aux entreprises et donc permettent leur développement". Le ministre ne voit d’ailleurs pas d’antagonisme entre les deux éléments "même si il reste des choses à régler".

Félix Braz a encore répété que la Présidence luxembourgeoise se donnait pour objectif d’obtenir une orientation générale au Conseil JAI d’octobre 2015 sur la directive sur la protection des données à caractère personnel traitées à des fins de répression alors que le Luxembourg considère que la réforme doit faire l’objet d’un paquet complet. "Nous le voulons et nous devrions en être capable", a-t-il dit, notant encore que si l’on devait rater ce rendez-vous, "on n’y arrivera pas".

Lors des questions et réponses, le ministre a encore insisté sur la "substance de l’accord", notant qu’il ne suffisait pas de dire que le niveau de protection octroyé par la directive de 1995 offrait une base minimum que la réforme ne devrait pas affaiblir, mais que le public devait "comprendre ce que nous faisons". "Dire que le paquet est sous le niveau de protection de la directive de 95 ou au-dessus n’aidera personne", a-t-il indiqué, notant qu’il s’agissait avant tout de faire un effort en vue de rendre le texte lisible et compréhensible par la majorité des gens.

La commissaire européenne en charge de la Justice, Věra Jourová, a pour sa part salué, tout comme Jan Philipp Albrecht des positions plus rapprochées qu’attendu et elle s’est félicitée du fait que la réforme de la protection des données soit "sur les rails".

La commissaire a dans ce contexte cité un tout nouvel Eurobaromètre qui montre selon elle la nécessité de cette réforme. Ainsi, selon cette étude, seules 15 % des personnes interrogées pensent avoir le contrôle sur leurs données personnelles, tandis que 31 % pensent le contraire. Par ailleurs, quelque 63 % disent ne pas avoir confiance en le traitement qui est fait de leurs données par les entreprises commerciales en ligne, de même que 62 % pour les opérateurs téléphoniques et internet. 89 % considèrent également important de bénéficier des mêmes droits de protection dans toute l’UE, quel que soit le pays où l’autorité de protection compétente ou l’entreprise qui propose ses services sont établies. Près de 7 personnes sur 10 expriment par ailleurs des craintes sur la réutilisation de leur données personnelles pour un usage qui différerait de celui pour lequel elles ont été collectées.

Ces résultats montreraient ainsi l’urgence de la réforme selon la commissaire alors que l’usage d’internet a largement augmenté de même que la conscience des citoyens notamment des risques qu’ils encourent. "La confiance est la clé, et elle se traduit en euros et en cents", a dit Věra Jourová, ajoutant qu’il s’agissait de "la reconstruire" afin de permettre au marché unique numérique "d’être une réussite".

Pour ce qui est de garantir que le niveau de protection de la directive de 1995 ne sera pas affaibli, la commissaire a indiqué que les négociations nécessiteraient un examen "article par article" des textes proposés "afin qu’il n’y ait aucun doute" à ce sujet.