Droit à l’oubli, etc. Les eurodéputés votent le Réglement Données personnelles

Hier, les eurodéputés ont adopté la résolution législative sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ouf !). Derrière ce long intitulé, l’Union européenne veut se doter d’un même corps de règle pour gérer la manipulation des données personnelles de ses citoyens et donc des internautes (notre dossier).

Le document est épais, près de 200 pages. Avec lui, le Parlement européen apporte sa contribution à ce sujet épineux, complexe, technique sur la manipulation de ce pétrole numérique, les données personnelles. À ce jour, la réglementation en Europe est assurée par une directive vieille de 18 ans. C’est début 2012 que la Commission européenne avait introduit cette réforme. L’enjeu ? Redonner à chacun le contrôle sur ses données tout en assurant un encadrement identique et modernisé dans tous les pays de l’Union.

Avec le vote d'hier, l’eurodéputée Françoise Castex par exemple voit « un signal fort » dans l’adoption du paquet sur les données personnelles (règlement et directive). « Après le scandale de la NSA et alors que nous négocions un accord de libre-échange avec un État qui espionne nos concitoyens, il était fondamental de redéfinir les règles du jeu » commente encore celle désormais sous les bannières du groupe Nouvelle Donne.

Droit à l'oubli

Le texte sacralise par exemple le droit à l’oubli numérique et à l’effacement. Les eurodéputés voudraient par exemple que chacun puisse obtenir la cessation de la diffusion de ses données ou encore « obtenir de tiers l'effacement de tous les liens vers ces données, ou de toute copie ou reproduction de celles-ci ». Ce droit à l’oubli sera conditionné : on pourra par exemple obtenir l’effacement des données « qui ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées » ou tout simplement parce que la personne s’oppose au traitement des données à caractères personnels, ou bien encore parce qu’un juge l’a décidé ou que les données ont fait l’objet d’un traitement illicite.

Ces mesures, dont il faudra évaluer l’impact pratique en pesant chaque expression, vont concerner de nombreux acteurs du numérique, avec en premier lieu les moteurs. Le texte adopté explique encore que celui qui manipule des données personnelles devra effacer sans délai ces informations, à la demande de leur titulaire. Les destinataires de ces demandes pourront cependant opposer l'exercice du droit à la liberté d'expression, des motifs de santé publique ou une mission de recherche scientifique, historique ou statistique. Dans certaines hypothèses, plutôt qu’effacer les données, le responsable du traitement pourra aussi rendre l’accès simplement plus difficile (voir à ce titre les vœux de la CNIL).

Droit à la portabilité des données : d'un droit à une incitation

Fait notable, le Parlement a supprimé le droit à la portabilité des données. Au lieu et place, il veut simplement « inciter les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données ». On passe d’un véritable droit à une incitation pour permettre aux internautes de déplacer leurs données personnelles par exemple d’un Gmail à un Yahoo Mail.

A gauche, la proposition de la Commission, à droite, celle des eurodéputés

Le bon dos des pseudo

L’autre pierre angulaire du dossier, la gestion des pseudonymes, fait l’objet d’une régulation jugée un peu trop mollassonne. « Nous souhaitions un encadrement plus strict des données pseudonymes, admet Françoise Castex,  mais ce résultat est dans l’ensemble un bon résultat qui était encore impensable il y a quelques mois. »

Cependant, le texte voté pose des principes inquiétants : « Le profilage fondé uniquement sur le traitement de données pseudonymes devrait être présumé ne pas affecter de manière significative les intérêts, droits ou libertés de la personne concernée. » Et donc ne pas poser de soucis.

Autre chose, « un professionnel qui traite des données à caractère personnel relatives à la santé devrait recueillir, dans la mesure du possible, des données anonymes ou protégées par un pseudonyme, de sorte que l'identité de la personne concernée ne soit connue que du médecin généraliste ou spécialiste qui a demandé le traitement des données ».

N’y a-t-il pas la porte à des risques d’abus ? Pour la Quadrature du Net, cela ne fait pas de doute : elle juge ce concept de données pseudonymisées comme trop « insidieux » et aurait donc préféré un encadrement plus fort.

Un intérêt légitime, mais flou

Ce n’est pas tout. Alors qu’un bras de fer a lieu entre l’UE et les États-Unis sur l’accord TIPP (notre actualité), le dispositif devrait également permettre de multiples transferts de données en se passant de l’accord préalable de l’internaute. Il suffira en effet que le responsable y trouve un « intérêt légitime ». Une expression encore trop floue toujours pour la Quadrature du Net. « Les députés ne sont pas parvenus à corriger la faille la plus dangereuse laissée dans la proposition initiale par la Commission en 2012 : la définition bien trop large de la notion d'« intérêt légitime ». En tant que tel, l'« intérêt légitime » de quiconque peut être utilisé comme fondement légal permettant d'outrepasser le consentement d'un individu afin de traiter les données le concernant. »

Prochaine étape, le Conseil

Il faudra maintenant attendre la position du Conseil sur ce paquet, programmée les 5 et 6 juin prochains. Miriam Artino, analyste politique à La Quadrature du Net,  prévient déjà : « les citoyens doivent exiger de leur gouvernement qu'il corrige ces failles, préserve les avancées, et n'introduise pas de nouvelles exceptions dans le texte ». Surtout, le règlement devra être finalisé par le prochain Parlement. La Quadrature espère donc que les prochaines élections européennes permettront d’accentuer l’attention des futurs eurodéputés sur ces sujets de premier ordre.