La Commission européenne a présenté le 10 janvier 2017 de nouvelles mesures concernant l'exploitation et les protections des données personnes, sous la forme de quatre textes et d'une consultation publique.

Dans son communiqué de presse, la Commission a fait part de sa volonté de voir les nouvelles mesures adoptées avant le 25 mai 2018, date de l'entrée en vigueur du règlement général sur la protection des données à l'examen qui fut adopté en avril 2016. Ce règlement général s'attaque à la protection des données pour les individus, et non aux communications entre entreprises ou entre individus comme la proposition

Un projet de règlement sur la vie privée et les communications électroniques

Par un projet de règlement sur la vie privée et les communications électroniques, la Commission propose d'étendre les règles définies dans l'actuelle directive sur la vie privée et communications électroniques à la nouvelle génération d'acteurs de services de communications électroniques, largement utilisés tels que Skype ou WhatsApp. Il doit à la fois renforcer la protection de la vie privée des particuliers et ouvrir de nouvelles perspectives d'activité économique pour les entreprises.

La Commission propose d'une part l'application du principe général de communications électroniques entièrement confidentielles. Ainsi, Le respect de la vie privée sera garanti en ce qui concerne non seulement le contenu des communications électroniques mais aussi les métadonnées (par exemple, la date et l'heure d'un appel ou sa localisation). Ces deux éléments devront être rendus anonymes ou effacés en l'absence d'autorisation expresse de l'utilisateur.

Par contre, les entreprises pourraient avoir un accès plus grand aux données personnelles de clients qui auraient donné leur consentement préalable et avoir plus de latitude dans l'exploitation des données. "Ils pourraient, par exemple, produire des cartes thermiques ("heat maps") indiquant la présence de personnes et utiles aux pouvoirs publics et aux entreprises de transport pour l'élaboration de nouveaux projets d'infrastructures", explique la Commission dans un mémo détaillant sa proposition.

Le texte prévoit également la simplification des règles en matière de cookies, avec de nouvelles règles donnant aux utilisateurs la possibilité d'accepter ou de refuser aisément les cookies et autres identifiants de suivi de leurs activités en cas de risque pour le respect de la vie privée. La proposition précise toutefois que le consentement n'est pas nécessaire pour les cookies non intrusifs utilisés pour améliorer les recherches de l'internaute (par exemple, la mémorisation de l'historique des achats) et ceux permettant de compter le nombre de visiteurs d'un site internet.

Pour lutter contre le spam, la proposition propose que les États membres puissent opter pour une solution qui donne au consommateur le droit de s'opposer à la réception d'appels de télémarketing, par exemple en inscrivant son numéro sur une liste rouge. Les démarcheurs devraient afficher leur numéro de téléphone ou utiliser un indicatif spécial indiquant qu'il s'agit d'un appel commercial.

"Je tiens à garantir la confidentialité des communications électroniques et la protection de la vie privée. Notre projet de règlement 'vie privée et communications électroniques' offre un juste équilibre  entre une protection rigoureuse des consommateurs et l'ouverture de perspectives d'innovation pour les entreprises", a déclaré le vice-président pour le marché unique numérique, Andrus Ansip.

Une situation à adapter dans les institutions européennes

Par sa proposition de règlement, la Commission entend adapter les règles de protection des données personnelles appliquées dans les institutions européennes,  aux nouvelles règles de protection des données personnelles inscrites dans le règlement général sur la protection des données à caractère privé. Elle veut garantir que, lorsque des données à caractère personnel sont traitées par les institutions et organes de l'UE, le respect de la vie privée est assuré de la même manière que dans les États membres.

Ainsi, pour leurs membres, ou les visiteurs extérieurs, les institutions européennes doivent se plier aux demandes d'effacement, de rectification et de portabilité des données. Le nouveau règlement établit ainsi des normes modernisées pour les contrôleurs de la protection des données au sein des institutions et leur fixe les obligations à respecter dans tous les aspects de leurs fonctions, y compris, par exemple, dans le cas des transferts de données vers des organisations ou des pays tiers.

L'échange de données dans un environnement mondialisé

Dans une proposition de communication sur l'échange et la protection des données personnelles dans un environnement mondialisé, la Commission définit une approche stratégique en ce qui concerne la question des transferts internationaux de données à caractère personnel, qui entend faciliter les échanges commerciaux et favoriser une meilleure coopération en matière coercitive, tout en assurant une stricte protection des données.

La Commission déclare qu'elle participera activement aux travaux relatifs aux décisions constatant le caractère adéquat de la protection avec ses principaux partenaires commerciaux en Asie de l'Est et du Sud-Est, en commençant par le Japon et la Corée en 2017, mais aussi avec les pays intéressés d'Amérique latine et du voisinage européen. Ces décisions d'adéquation, dont un récent exemple est le Privacy Shield entre l'UE et les Etats-Unis, permettent la libre circulation de données à caractère personnel vers des pays appliquant des règles de protection des données d'un niveau "substantiellement équivalent" à celles de l'UE.

De plus, la Commission fait savoir qu'elle utilisera pleinement aussi les autres mécanismes alternatifs prévus par les nouvelles règles de l'Union sur la protection des données, à savoir le règlement général sur la protection des données et la directive "police", afin de faciliter l'échange de données à caractère personnel avec d'autres pays tiers pour lesquels il n'a pas été possible de dégager de décisions sur l'adéquation du niveau de protection.

La Commission veut aussi s'engager pour que ses partenaires internationaux renforcent leur niveau de protection des données.

L'économie des données

Dans une communication sur l'économie des données, qui s'inscrit dans le cadre de la stratégie pour un marché unique numérique présentée en mai 2015, la Commission européenne a proposé des solutions politiques et juridiques susceptibles de libérer le potentiel de l'économie fondée sur les données dans l'UE. Elle a ouvert en parallèle une consultation publique à ce sujet.

La Commission estime en effet que "l'UE est loin de tirer le meilleur parti possible de son potentiel en matière de données". Pour cela, "il faut éliminer les restrictions injustifiées à la libre circulation des données par-delà les frontières et lever l'insécurité juridique dans plusieurs domaines".

"En Europe, la circulation et l'accessibilité des données sont souvent entravées par des règles de localisation ou d'autres obstacles techniques et juridiques. Si nous voulons que notre économie fondée sur les données produise de la croissance et des emplois, il faut pouvoir utiliser les données; il faut pouvoir y accéder et les analyser", a déclaré à ce sujet Andrus Ansip, en sa qualité de vice-président de la Commission européenne chargé du marché unique numérique.

La Commission rapporte qu'on estimait, en 2015, que l'économie fondée sur les données représentait 272 milliards d'euros dans l'UE (avec une croissance annuelle de 5,6 %) et qu'elle pourrait employer 7,4 millions de personnes d'ici à 2020. Voilà ce qui a conduit Elżbieta Bieńkowska, commissaire pour le marché intérieur, l'industrie, l'entrepreneuriat et les PME, à qualifier les données de "carburant de la nouvelle économie". Selon une étude, la suppression d'obstacles tels que la localisation des données nationales pourrait générer jusqu'à 8 milliards d'euros de PIB par an.

La Commission propose aussi aux États membres intéressés de participer à des projets transfrontières consistant à étudier les nouveaux problèmes susceptibles de se poser dans le domaine des données en situation réelle. La Commission mentionne des projets de mobilité coopérative, connectée et automatisée permettant aux véhicules de se connecter entre eux et avec l'infrastructure routière sont déjà en cours dans certains États membres, sur lesquels elle souhaite s'appuyer afin de mettre à l'épreuve les implications réglementaires de la responsabilité en matière de données et de l'accès à ces dernières.

Pour tirer le meilleur parti possible de l'économie fondée sur les données en Europe, la Commission compte par ailleurs engager des dialogues structurés avec les États membres et les parties prenantes afin d'examiner la proportionnalité des restrictions en matière de localisation des données et mettre fin à l'insécurité juridique résultant des nouveaux problèmes qui se posent dans le contexte d'une économie fondée sur les données, en termes notamment d'accessibilité et de transfert des données, ainsi que de la responsabilité dans le domaine des produits et services fondés sur les données.

Premières réactions

Parmi les groupes politiques, les Verts-ALE, particulièrement attentifs sur la question de la protection des données, ont été les premiers à réagir. En tant que vice-président de la Commission des libertés civiles, de la justice et des affaires intérieures, l'eurodéputé Jan Philipp Albrecht a déploré la "faiblesse" des propositions figurant dans la proposition de règlement sur les communications électroniques présenté aujourd'hui par la Commission européenne, pour ce qui concerne le suivi de l'activité des utilisateurs.

"En effet, au lieu d'exiger des fournisseurs de services qu'ils obtiennent le consentement explicite des utilisateurs avant de pouvoir suivre leurs activités, ceux-ci pourraient estimer avoir leur consentement s'ils n'ont pas manifesté d'opinion contraire", fait remarquer l'eurodéputé. "Cet aspect de la proposition actuelle est d'autant plus problématique qu'il est contraire à la législation sur la protection des données qui envisage une protection maximale."

"Quand on sait que les agences de renseignement procèdent à la collecte massive des données personnelles, il est important de veiller à ce que les fournisseurs de services recourent à tout ce qui est techniquement possible pour garantir le droit fondamental à la vie privée", a estimé pour sa part l'eurodéputée Verts-ALE, Eva Joly. "Le Parlement européen et le Conseil se doivent donc d'amender la proposition actuelle pour que soient pleinement garantis les droits des utilisateurs."

Du côté des organisations professionnelles, BusinessEurope, l'organisation rassemblement les patrons, a réagi dans un communiqué à la communication de la Commisison sur l'économie des données. Il devrait permettre aux entreprises de déplacer librement des données à l'intérieur de l'UE afin de tirer profit du marché numérique unique, dit BusinessEurope, qui avance la perspective d'une hausse de 3 % du PIB d'ici 2020 si les mesures adéquates sont pris.

“La communication de ce jour est un bon tremplin pour une action législative européenne ambitieuse qui enlève les restrictions injustifiées dans les flux de données. Seul le libre mouvement des données à l'intérieur des frontières de l'UE permettra à l'économie des données de s'implanter", a déclaré à ce sujet le directeur général, Markus J. Beyrer

Par contre, l'organisation ne pense pas qu'il y ait lieu de légiférer sur l'accès, la propriété et la responsabilité, toute nouvelle législation en la matière risquant de "saper le développement d'une économie des données innovante".