Les deux futurs règlements européens sur la protection des données personnelles donnent du travail aux institutions. Le G29, qui groupe les CNIL européennes, est à pied d'œuvre pour rendre le GDPR applicable en 2018, quand son complément ePrivacy est présenté par la Commission.
Les CNIL européennes, réunies au sein du G29, ont adopté leur plan d'action pour 2017. Comme en 2016, l'objectif est de préparer l'entrée en vigueur du règlement général sur la protection des données personnelles (GDPR), fixée au 25 mai 2018.
Le texte européen, adopté l'an dernier par les institutions européennes, renforce les obligations des organisations et entreprises en matière de vie privée, que ce soit dans la conception des services, le signalement des failles ou le respect du consentement pour la collecte des données.
De nombreux détails du GDPR à régler
La feuille de route pour 2017 reprend d'abord les thèmes développés en 2016. Il s'agit de points précis du futur règlement, comme la certification et le traitement des données à potentiel haut risque, l'étude d'impact de la protection des données, les amendes administratives, la création du Bureau européen de protection des données (EDPB), ainsi que le mécanisme de cohérence lié. En clair, il s'agit de mettre en place les rouages concrets du prochain dispositif, notamment au sein des entreprises.
Quelques nouvelles priorités font aussi leur entrée, annonce le groupe, à savoir la rédaction de lignes directrices sur le consentement et le profilage, puis la transparence au second semestre. Les avis du groupement d'autorités sur le partage de données vers des pays tiers et les notifications de fuites de données seront aussi mis à jour. Ces points sont importants, surtout après l'invalidation sans détour du Safe Harbor (qui permettait de transférer des données vers les Etats-Unis), remplacé l'an dernier par le Privacy Shield, sur lequel l'institution s'est aussi montrée sceptique.
Fin 2016, le groupe avait adopté des lignes directrices sur la portabilité des données, les Data Protection Officers (DPO) au sein des entreprises et l'autorité de supervision chargée de contrôler les échanges transfrontaliers de données. Ce travail du G29 sur le nouveau règlement est assez classique. Le BEREC, qui rassemble les autorités des télécoms, a fourni l'an dernier ses lignes directrices sur la neutralité du Net, après l'entrée de ce principe dans le droit européen et un âpre combat public.
Les flous d'ePrivacy en débat
Le règlement général n'est pas le seul nouveau texte à modifier la protection des données personnelles. Il sera bientôt complété par la révision de la directive ePrivacy de 2002, devenant pour l'occasion un autre règlement. Pourquoi deux textes ? Quand le GDPR couvre nombre de cas, il laisse de côté les communications entre entreprises et celles ne contenant pas de données personnelles, qu'ePrivacy prend donc sous son aile.
Hier matin, la Commission européenne organisait un débat autour de ce second volet. Parmi les avancées promises figurent la protection des métadonnées et une gestion simplifiée des cookies, qui doit permettre d'en finir avec les bandeaux incessants sur les sites web. Désormais, des réglages navigateur doivent être pris en compte, alors que les cookies statistiques ne demanderont pas de consentement.
Hier, une part importante des questions portaient sur la distinction entre les services couverts par l'un ou l'autre des textes. Pour Facebook, par exemple, le flux d'actualité du réseau social ne serait pas couvert par ePrivacy, au contraire des échanges sur Messenger. Sur l'exclusion des communications entre machines de ces nouvelles règles, le flou semble également de mise après les explications de la Commission.
D'autres détails prêtent encore à discussion, par exemple le sort d'outils de statistiques comme Google Analytics, dont les cookies ne viennent pas directement du site visité, donc pourraient être bloqués. Le texte doit, de toute manière, encore passer entre les mains du Conseil et du Parlement européens. La Commission souhaite que le règlement passe avant le 25 mai 2018, pour être en marche avec le GDPR.
