L'Europe au chevet de vos données personnelles

Profilage des internautes, droit à l’oubli, transferts des données personnelles hors du territoire de l’UE… Les questions soulevées par le chantier du règlement et de la directive sur les données personnelles sont d’une importance capitale. Le Parlement européen a organisé un colloque cette semaine. PC INpact, seul média français sur place, vous en propose un compte rendu.


undefined

« En 1995, Mark Zuckerberg avait 11 ans et les téléphones portables avaient des antennes de 15 cm de long ! » Ce rappel historique de Richard Szostak, responsable de la Protection des données à la Commission européenne, marque la formidable évolution d’Internet depuis lors. Démocratisation de l’accès, essor du web 2.0, explosion des réseaux sociaux, emprise des moteurs de recherche, avènement du cloud, etc. Autant d’avancée, mais également de menaces face à ces aspirateurs à données. Ce constat souligne la question de l’encadrement du traitement de ces informations que les internautes livrent aujourd’hui par pelletées dans l’estomac des Google, Amazon, Facebook et autres géants, trop souvent sans le savoir.

La réglementation en Europe est actuellement assurée par une directive vieille de 18 ans épaulée par une décision-cadre du Conseil de 2008 pour la partie coopération policière et judiciaire en matière pénale. Début 2012, la Commission européenne a néanmoins introduit une réforme de la directive de 1995 par l’introduction d’un « paquet », composé d’un projet de règlement européen et d’une directive. Objectif affiché ? Redonner aux utilisateurs le contrôle sur leurs données tout en garantissant un développement des activités en ligne. Un équilibre délicat.

Directive -> règlement, décision-cadre -> directive

Une première réponse est déjà apportée par le choix de l’outil pour cette réforme. La directive de 95 va être remplacée par un règlement, la décision-cadre, par une directive.

Pourquoi ? La directive de 1995 a fixé des normes minimales à transposer dans les 27 législations différentes selon leurs spécificités. Certaines ont été transposées docilement, d’autres ont été enrichies lors de l’intégration dans le droit interne. Faute de coopération renforcée, c’est une jungle normative qui a été sécrétée faute de coordination entre les États membres. « Aujourd’hui le système actuel permet aux régulateurs de faire à peu près ce qu’ils veulent » assure Hielke Hijmans, représentant du Contrôleur aux données personnelles. Un exemple, parmi d’autres ? Certains États membres ont accepté Google Street View, d’autres non.

En remplaçant cette directive par un règlement, la Commission européenne veut unifier les règles sur tout le territoire européen sans divergence possible. Ce corps de règles identiques devrait aussi faciliter la vie des entreprises. Imaginons un citoyen suédois, armé d’un iPhone qui utilise une application Facebook ou surfe sur Google… À chaque strate, son lot de règles. Une même réglementation, c’est donc moins de paperasse, moins de viscosité administrative. Les études d’impact évoquent une économie de 2,3 milliards d’euros, dont 130 millions pour la seule réduction de la bureaucratie...

Des chiffres à manipuler avec précaution, mais le choix du règlement colmatera aussi et surtout les cas de « forum shopping » : exploiter les brèches d’un pays donné, car le climat réglementaire y est plus serein pour manipuler la donnée personnelle à pleins gaz.

Le lobbying entre dans la danse...

Le règlement est accompagné par une directive sur les questions pénales qui viendra remplacer la décision-cadre. Ces deux textes ont été introduits le 25 janvier 2012 par la Commission européenne puis transmis aux eurodéputés. Entre janvier et mars 2013, ces deux propositions ont été examinées par les commissions au Parlement européen. C’est la commission LIBE (liberté publique) qui est saisie au fond, mais d’autres commissions, dont JURI, affaires juridiques, ont été sollicitées pour proposer des amendements.

Ces travaux font maintenant l’objet de pourparlers entre les groupes politiques, l’enjeu étant d’obtenir un accord aussi large que possible. Avant les vacances d’été, un vote donnera mandat au rapporteur afin d’aller négocier avec le Conseil. La prochaine étape sera cette instance composée des 27 ministres des États membres. La procédure est celle d’une codécision : la réforme passera si les trois piliers sont d’accord, sinon on basculera dans une procédure de conciliation. Au plus tôt, le texte entrera en vigueur fin 2015.

facebook

Cette gestation législative est un chantier d’ampleur, mais surtout le terrain privilégié pour le lobbying. Les chiffres font tourner la tête : 3999 amendements déposés sur le règlement, 771 sur la directive. Des centaines de réunion informelle ont été organisées dans les bureaux feutrés des eurodéputés. Très sollicités, ces parlementaires sont la cible évidente pour les géants du secteur, au hasard les géants américains. On le comprend : une norme, favorable ou non, aura des répercussions immédiates sur l’exploitation de ce pétrole numérique qu’est la donnée personnelle. Des normes trop contraignantes, ce sont des flux de données qui ralentissent et des retombées publicitaires qui n’explosent pas.

« Il y a une grande tentation des lobbys et au sein du Parlement d’exclure certains secteurs du champ d’application de la réglementation » constate sans détour Hielke Hijmans qui cite le secteur financier, « mais nous sommes contre ! La protection des données doit s’appliquer partout pareil ! » Dimitrios Droutas (S&D, rapporteur pour la directive) regrettera pour sa part qu’au fil des pressions des gros acteurs du web au Parlement européen, on bascule doucement de la protection des données personnelles à celle du monde des affaires.

... parfois avec des études « complètement délirantes »

Jan Philipp Albrecht (Vert, rapporteur général) s’agace : « beaucoup d’entreprises rêvent de revenir en arrière. Mais si ces entreprises ne veulent pas respecter le droit communautaire, ce n’est pas à nous de nous adapter à leur comportement ! » Quant à Sophia In’t Veld (Alde, Shadow rapporteur), elle sait inévitables ces actions de lobbys. De nombreuses ONG sont d’ailleurs actives et ont contribué aux débats, tout comme des citoyens à l’instar du dossier Acta. « C’est aux parlementaires de prendre leur décision en leur âme et conscience ». S’ils décident de plier, « ils devront rendre des comptes ». La même eurodéputée rapporte d’ailleurs que les autorités américaines ont été impliquées de façon très étroite à ces réflexions « y compris lors de la rédaction du texte, ce qui me semble déplacé », commente-t-elle.

Ces pressions prennent plusieurs formes, directes ou indirectes. Jan Philippe Albrecht évoque par exemple ces études « complètement délirantes » menées sur l’impact de cette législation. Ainsi, une étude américaine a chiffré le coût du droit à l’oubli dans ce futur règlement à près de 4500 dollars par foyer…

données personnelles

L’initiative LobbyPlag avait pour sa part comparé de manière synthétique les amendements portés par les eurodéputés avec les versions rédigées par plusieurs grandes entreprises comme Amazon, Digital Europe (Microsoft, Apple, RIM, etc. ), EUROIspa (FAI, Google, etc.), eBay, la Chambre du commerce américain, etc. Les copies, parfois serviles, permettent ainsi à ces géants de cimenter leurs futurs revenus publicitaires (notre actualité).

par Marc Rees Publiée le 20/05/2013 à 16:23