La révision de la législation européenne encadrant la « protection des données à caractère personnel » est l’objet de toutes les attentions, et pas seulement sur le vieux continent. Les grosses entreprises américaines voient d’un mauvais œil la révision des dispositions régulant la collecte, le traitement et le stockage des données personnelles. En coulisse, c’est tout le business du tracking et des publicités ciblées qui est visé.
Cette grande réforme vise à harmoniser les droits et les obligations des personnes physiques face aux entreprises qui manipulent nos données personnelles. La justification de la révision de cet encadrement tient au déluge de données qu’impliquent aujourd’hui les nouvelles technologies. Avec une équation délicate : moderniser les textes, renforcer les droits des individus face au tracking et au profilage, mais aussi réduire les formalités administratives tout en permettant une application effective de ces normes, le tout dans un marché unique générateur de richesse. On comprend donc l'attention sur ce texte des grandes entités qui font de ces données leur carburant et leur raison d’être.
Vote en commission IMCO, pré-rapport en commission LIBE
Ce texte a déjà été examiné et voté pour avis en commission IMCO (consommateurs). Suivront la commission des affaires juridiques (JURI) autour du 18/19 février, puis ITRE (Industrie) le 20 février, EMPL (Emploi) le 21 et LIBE (libertés publiques) les 24-25 avril. Ensuite interviendra un vote en séance plénière. Un long processus d'avis, de rapports et de votes au niveau du Parlement européen.
Mi-janvier, la CNIL saluait pour sa part le projet de rapport de M. Albrecht, qui est rapporteur à la Commission LIBE. Dans sa version du texte, il propose par exemple que l’autorité de contrôle compétente soit celle du lieu de résidence du citoyen, ce qui assure une proximité entre la victime et le « gendarme » des données personnelles. Et évite par la même occasion les faits de forum-shopping (installation des entreprises gérant des données personnelles dans les pays où la protection est la moins forte). Il milite aussi pour un point de contact unique lorsqu’un même traitement est géré par des entités éparpillées sur plusieurs pays. L’eurodéputé veut aussi accroitre le rôle et les pouvoirs du Comité européen de la protection des données, « notamment en lui conférant un pouvoir décisionnel sur les projets de décisions d'une autorité de contrôle ».
Pour la CNIL, ce sont là les conditions d'une uniformisation de l'application des dispositions européennes. La même autorité indépendante saluait également « la suppression, dans le projet de rapport, de la possibilité de recourir à des instruments juridiques non contraignants pour encadrer les transferts de données vers des pays hors Union. »
LobbyPlag, Lobbygate
Mais ces avancées en « LIBE » ne gomment pas les inquiétudes suscitées dans les autres commissions. Ainsi, le site LobbyPlag (pour lobby plagiat) s’attache à comparer les amendements des eurodéputés avec les versions rédigées par plusieurs lobbyistes. Parmi eux, Amazon, Digital Europe (Microsoft, Apple, RIM, etc. ), EUROIspa (FAI, Google, etc.), eBay, la Chambre du commerce américaine, etc. Les copies sont parfois serviles, sans aucune modification, ou à peine.
« Leur objectif est d'inclure dans la régulation des brèches leur permettant de faire ce qu'ils veulent de nos données personnelles, afin de générer des profits en exploitant notre vie privée » résume la Quadrature du Net qui a diffusé plusieurs liasses d’amendements de ces grandes entités. Un exemple de brèche ? Sous la justification d’un « intérêt légitime », un traitement peut être transféré en dehors de nos frontières. Il suffit dès lors d’augmenter les hypothèses où ce fameux « intérêt légitime » est justifiable pour autoriser par exemple Google, Amazon, Facebook ou Apple (GAFA) à consolider les traitements aux États-Unis, loin de nos regards. Le texte ne concerne pas seulement les géants du net, il mobilise aussi le secteur assurantiel, ou celui des banques.
De son côté l’initiative Europe-v-Facebook parle d’un « LobbyGate » lorsqu'il publie un long PDF gorgé d’amendements repiqués parmi les propositions des grandes entreprises. Un autre exemple : la notion de consentement de la personne concernée par un traitement. Dans la version initiale en entrée de la Commission IMCO, il devait être explicite. En sotie de cette même commission, on évoque simplement un consentement aussi « explicite que possible suivant le contexte ». Cela n'a pas la même force contraignante. Et c'est très exactement ce que recommandent Amazon ou eBay.
Autre fait significatif, la version initiale expliquait que le contrôleur chargé des données personnelles ne peut qu’être révoqué s’il ne remplit les conditions requises pour l’exercice de ses fonctions. Le passage a sauté via l’amendement 184 à l’article 35, paragraphe 7. Et c’était ce que voulait le milieu des banques, rapporte Europe-v-Facebook.
L’influence des lobbies à l’échelle européenne n’est pas une surprise. La mise en place d’outils contributifs permet de traquer leur perturbation dans le processus normatif et donc mécaniquement d'amplifier l’attention. Dans les colonnes du Telegraph, néanmoins, Viviane Reding a estimé qu’il s’agissait bien selon elle du lobbying le plus intense jamais rencontré.
