En juin 2013, Edward Snowden, ancien employé de la CIA et de la NSA, révélait au grand jour ce dont nombre d’experts du renseignement et de l’Intelligence économique se doutaient depuis des années. Les documents dérobés ont ainsi révélé l’étendue de PRISM, le programme de surveillance des services de renseignement américain : la surveillance massive et sa généralisation à l’ensemble de la population par des acteurs privés pour le compte d’acteurs publics. En effet, depuis 2007, le FBI et la NSA ont accès aux serveurs des plus grands acteurs du web (Google, Facebook, Yahoo, Microsoft…) et peuvent consulter les informations qui concernent les utilisateurs.
Suite à ces révélations, un débat international est apparu concernant les conséquences de ces pratiques sur la vie privée des citoyens. Désormais, et sous couvert de la lutte contre le terrorisme et contre la criminalité, la présomption d’innocence est inversée. La norme devient la surveillance généralisée par défaut des personnes en dehors de tout cadre légal. Or, cette généralisation de la surveillance de masse n’est pas acceptable dans nos sociétés démocratiques. Les grands acteurs économiques sont puissants et ont acquis une place centrale dans nos vies. Il devient dès lors nécessaire d’encadrer les technologies et de garantir une utilisation respectueuse des libertés. En effet, l’enjeu est primordial et concerne l’une des composantes majeures de notre vie privée défendue par de nombreux textes[1] : nos données personnelles.
Or, si des outils permettent une protection individuelle des données personnelles, ceux-ci restent peu accessibles au grand public qui rechigne à se protéger. Ainsi, selon une étude un célèbre éditeur de solutions de sécurité, 79 % des 18 000 internautes interrogés n’apprécient pas d’être pistés par des sites web. Parmi ces réfractaires, 41 % ne font rien contre[2].
Par ailleurs, et de manière paradoxale, depuis les révélations d’Edward Snowden, les géants du net se sont lancés dans une course au chiffrement et au cryptage des données de leurs utilisateurs et de leurs échanges. Apple, soutenu par des géants comme Google, Facebook, la fondation Mozilla et Microsoft, indique aujourd’hui au FBI ne pas connaître, ni être en mesure de connaître, la clé de déverrouillage pour ses iPhone. Le groupe précise que pour contourner son propre sécurité, il lui faudrait modifier le cœur même de ses appareils, ce qui constituerait un précédent judiciaire dangereux menaçant la sécurité des utilisateurs[3].
Toutefois, derrière cette course au chiffrement se cache, certes, une nécessité de développer une technologie majeure (sans laquelle, par exemple, l’internet des objets ne pourra pas se développer en toute sécurité), mais également une véritable opération de communication. Ces géants du net tentent ainsi de reconquérir la confiance de leurs utilisateurs après la défiance engendrée par les révélations de Snowden. Or, si la fondation Mozzilla reconnait que la fourniture aux autorités d’une clé lorsque la sécurité civile est en jeu est une invitation à la cyberattaque, rien ne garantit aux utilisateurs européens que les acteurs américains ne céderont pas – à nouveau – aux injonctions de l’État américain[4]. Rien ne permet non plus de dire qu’ils n’ont pas déjà officieusement cédé. Et enfin, rien ne garantit que ces données ne soient pas secrètement utilisées à des fins commerciales.
C’est pourquoi il est aujourd’hui nécessaire pour l’Europe de bâtir une législation protectrice des données personnelles des Européens tout en veillant à ne pas brider de manière disproportionnée la révolution numérique en marche.
***
La prise en compte progressive de la nécessité de protéger les données
a définition de la notion de données à caractère personnel énoncée à l’article 2 alinéa 221 de la loi de 1978 « informatique et libertés » peut s’avérer complexe. « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement (…) une personne physique ».
Ainsi, la notion de donnée à caractère personnel recouvre tout type de données permettant l’identification d’une personne physique directement (nom, prénom, photographie, ADN) ou indirectement. Ces informations vont permettre d’identifier de manière directe ou indirecte l’individu. La protection de ces données constitue donc une liberté fondamentale à la croisée d’autres droits fondamentaux, notamment le droit de propriété, le droit au respect de la vie privée et la liberté d’expression.
Au sein de l’Union européenne, la protection des données personnelles repose sur la directive n° 95/46/CE du 24 octobre 1995[5], entrée en vigueur en octobre 1998, dont l’objectif est d’assurer une protection satisfaisante des données et de permettre leur libre circulation à l’intérieur de l’Union. Ce texte protecteur édicte des conditions strictes à la collecte et au traitement de données et prévoit de nombreux droits au profit des individus (le droit d’information, le droit d’accès, le droit de rectification et d’effacement). En fournissant un niveau de protection identique, les états membres peuvent librement faire circuler les données favorisant une harmonisation à l’intérieur de l’UE.
S’agissant des États tiers, c’est-à-dire non liés par les règles de protection, la directive prévoit qu’un transfert peut avoir lieu uniquement si la législation de l’État tiers de destination assure un niveau de protection adéquat en instaurant dans son droit interne les principes majeurs de la protection des données. Si tel est le cas, la commission prend une décision d’adéquation concernant le pays tiers en cause, permettant ainsi le transfert de données personnelles vers ce pays. Actuellement, seulement dix pays font l’objet d’une décision d’adéquation totale.
Ce n’est pas le cas des États-Unis, ces derniers n’ayant pas été considérés comme ayant un niveau de protection adéquat en raison des grandes disparités entre le droit américain et le droit européen. En effet, alors que l’Europe, et notamment la CNIL en France, souhaite réglementer pour assurer la protection des données personnelles des internautes, les États-Unis prônent le « tout ouvert » afin de protéger les géants du net tels que Google, Facebook, Amazon et Apple, tout leur business model étant basé sur la récolte des données personnelles des usagers.
Cependant, au vu de l’importance des échanges économiques transatlantiques et pour éviter un blocage des flux de données personnelles entre l’Europe et les États-Unis, la Commission européenne et le département du commerce du gouvernement américain ont adopté en 2000 le Safe Harbor. Cet accord permettait de compenser l’insuffisance de la législation fédérale américaine en imposant le respect de sept principes :
- Information: les individus situés dans l’espace économique européen doivent être informés du fait que leurs données sont collectées et de la façon dont ces données vont être utilisées ;
- Choix: les individus doivent avoir la possibilité de refuser que les données les concernant soient transférées à des tiers ou utilisées dans un but autre que celui auquel la personne a consenti précédemment ;
- Transferts ultérieurs: le transfert de données à de tierces parties ne peut se faire que vers un tiers garantissant le même niveau de respect des principes de protection de données personnelles ;
- Sécurité: l’entreprise prendra les mesures nécessaires pour protéger les informations collectées contre la suppression, le mauvais usage, la divulgation ou l’altération de ces données ;
- Qualité des données: l’entreprise s’engage à n’utiliser les données collectées que dans le but pour lequel l’utilisateur a donné son accord ;
- Accès: les individus doivent pouvoir accéder aux informations les concernant, et pouvoir les corriger ou les supprimer s’ils le souhaitent ;
- Application: l’entreprise mettra tout en œuvre pour que ces règles soient effectivement appliquées et contrôlera leur respect.
Les entreprises qui y adhéraient devaient divulguer leurs règles de confidentialité et relevaient de la compétence de la Commission fédérale du commerce (Federal Trade Commission – FTC) qui est doté d’un pouvoir de sanction. Ainsi, cet accord avait pour objectif de satisfaire les exigences de l’article 25, § 6, de la directive du 24 octobre 1995 qui impose un « niveau de protection adéquat », afin d’autoriser les flux transfrontaliers de données personnelles hors UE.
Toutefois, la protection des données des citoyens européens ne s’est avérée d’aucune efficacité contre la surveillance de masse réalisée par les services de renseignement américains et largement cautionnée par la législation américaine (Patriot Act, Freedom Act…). C’est pourquoi la Cour de justice de l’Union européenne est venue à deux reprises bouleverser ce schéma européen.
L’arrêt de la CJUE « Digital Right Ireland » du 8 avril 2014
Le 8 avril 2014, dans un arrêt Commission contre Hongrie, la Cour de justice de l’Union européenne est venue affirmer l’exigence d’indépendance tout à la fois personnelle, fonctionnelle, matérielle et institutionnelle, des autorités en charge de la protection des données. Elle a précisé assurer le lien direct entre protection des données personnelles et protection des droits fondamentaux[6].
Le même jour, dans un arrêt « Digital Right Ireland », la Cour de justice de l’UE[7] a invalidé la directive du 15 mars 2006 sur la conservation des données de trafic sur internet ou mobile. Cette dernière constitue, selon la Cour, une ingérence d’une gravité particulière dans les droits fondamentaux du respect de la vie privée et de la protection des données à caractère personnel sans que cette ingérence soit strictement nécessaire. Cette directive avait été adoptée en réaction aux attentats terroristes de Madrid et de Londres en 2004 et 2005 et s’inscrivait dans la lignée de la résolution adoptée par le Conseil Justice et affaires intérieures en novembre 1993. Par cette directive, l’Union européenne avait accéléré l’adoption d’un dispositif de conservation des données de trafic afin d’obliger les fournisseurs d’accès à internet (FAI) ou opérateur de téléphonie mobile à conserver un certain temps, certaines données afin qu’elles soient accessibles pour les services répressifs.
Selon la CJUE, si la conservation préventive de masse de données de trafic aux fins de les rendre disponibles pour les services répressifs répond à un objectif d’intérêt général dans la conservation des données, il est interdit de procéder à une conservation préventive de masse. En effet, la conservation doit être encadrée et ciblée, l’absence générale de limite dans les données conservées explique l’ampleur de l’ingérence et sa disproportion. La Cour a fondé sa décision sur certaines dispositions de la Charte des Droits fondamentaux de l’Union européenne :
- La Cour indique que la vie privée, protégée par l’article 7 de la Charte, est affectée « de manière directe et spécifique ». Elle indique que les « données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées ». La Cour précise également qu’il importe peu que « les informations relatives à la vie privée concernées présentent ou non un caractère sensible ou que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence » ;
- La Cour indique, en outre, que « la directive 2006/24 est constitutive d’une ingérence dans le droit fondamental à la protection des données à caractère personnel garanti par l’article 8 de la Charte puisqu’elle prévoit un traitement des données à caractère personnel» (point 36). Elle insiste sur le fait que « la conservation des données aux fins de leur accès éventuel par les autorités nationales compétentes […] doit nécessairement satisfaire aux exigences de protection des données découlant de cet article ».
La Cour conclut ainsi : « l’ingérence que comporte la directive 2006 dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte doit être considérée comme particulièrement grave, et la circonstance que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’utilisateur en soit informé est susceptible de générer dans l’esprit le sentiment que leur vie privée fait l’objet d’une surveillance constante ». De plus, « toute limitation de l’exercice des droits et des libertés consacrés par celle-ci doit être prévue par la loi, respecter leur contenu essentiel et, dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées à ces droits et libertés que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’UE ou au besoin de protection des droits et libertés d’autrui ».
L’invalidation de la directive 2006 par la CJUE dans sa décision du 8 avril 2014 s’inscrit dans la lignée des décisions rendues par les cours suprêmes de différents États membres de l’Union (Bulgarie 2008, Roumanie 2009, Tribunal constitutionnel fédéral allemand 2010…). Elle vient soutenir ces Etats face à la Commission européenne qui s’était attachée à obtenir des États ne disposant pas ou plus de dispositions nationales de transposition du texte qu’ils s’en dotent le plus rapidement possible.
Désormais, le retour au statu quo ante s’impose. Les États membres n’ont plus l’obligation, mais simplement la possibilité de demander aux opérateurs de téléphonie et aux fournisseurs d’accès de conserver les données de télécommunication électroniques aux fins de recherche, détection et poursuite d’infractions pénales. Toutefois, une telle conservation des données envisagée et réalisée au niveau national demeure dans le champ du droit européen et doit donc s’attacher à ne pas violer la Charte des Droits fondamentaux de l’UE. Mais également à respecter la directive 2002 concernant le traitement des données à caractère personnel qui impose aux opérateurs de téléphonie et aux fournisseurs d’accès de détruire les données de communication électroniques dès que leurs clients ont réglé leurs factures. L’art 15 § 1 de la directive 2002 autorise cependant les États membres à adopter des mesures législatives visant à limiter la portée des droits et des obligations prévues par elle, mais à condition qu’ « une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale » et qu’elle soit prévue « pendant une durée limitée ».
L’arrêt de la CJUE « Schrems » du 6 octobre 2015
Le 6 octobre 2015, la CJUE a invalidé la décision de la Commission européenne 2000/520/CE qui considérait que les principes de la sphère de sécurité (safe harbor) relatifs à la protection de la vie privée assuraient un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États-Unis. En l’espèce, invoquant les révélations faites par Edward Snowden, un étudiant autrichien, Maximillian Schrems, utilisateur du réseau social Facebook depuis 2008, avait, en effet, décidé de déposer une plainte auprès du commissaire à la protection des données en Irlande (la CNIL française) le 25 juin 2013 arguant que les données qu’il fournissait à Facebook et qui étaient transférées à Facebook Ireland pour être ensuite conservées sur des serveurs situés aux États-Unis étaient insuffisamment protégées contre la surveillance étatique américaine[8].
Le commissaire irlandais, sur le fondement de la décision de la commission européenne de 2000 posant les principes du Safe Harbor garantissant un niveau de protection adéquat des données entre l’Union et les États-Unis, avait alors refusé d’instruire la plainte. La Cour irlandaise a alors posé deux questions préjudicielles à la Cour.
La CJUE a pris acte du fait que les autorités américaines pouvaient accéder aux données à caractère personnel transférées à partir des États membres vers les États-Unis et traiter celles-ci d’une manière incompatible, notamment avec les finalités de leur transfert, et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale. La CJUE s’est montrée particulièrement sévère à l’égard de la décision de l’an 2000. Elle a affirmé que la commission aurait dû vérifier que les États-Unis assuraient effectivement, à la fois dans les textes de droit interne et dans leurs engagements internationaux, « un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte ». La Cour a ainsi jugé que l’annexe 1 autorisant des limites aux principes du Safe Harbor dès lors qu’elles sont relatives à « la sécurité nationale, l’intérêt public et au respect des lois des États-Unis », permettait en réalité un contournement des principes de cet accord. La CJUE a également critiqué l’autoproclamation et l’autocertification par les entreprises américaines qui déclarent respecter les principes généraux de protection des données, et se contrôler elles-mêmes.
En conséquence, constatant que la décision de 2000 n’offrait ainsi aucune garantie effective, la CJUE a décidé de l’invalider, interdisant, de ce fait, aux entreprises américaines de s’abriter derrière leur adhésion aux principes du Safe Harbor pour se soustraire aux obligations issues du droit européen. Il s’agit donc d’une réelle remise en cause du libre transfert des données personnelles vers les Etats-Unis (en vigueur depuis plus de 15 ans…).
En attendant qu’un nouvel accord soit trouvé, les entreprises ayant recours au safe harbor sont dans l’obligation de transférer leurs données vers les États-Unis sur la base d’autres outils juridiques alternatifs et validés par le G29, tels que les règles contraignantes d’entreprises (Binding Corporate Rules – BCR) et les clauses contractuelles types signées par les parties[9]. En France, c’est la CNIL qui s’occupe d’autoriser toute exportation de données et de contrôler la validité de ces outils.
Du « Safe Harbor » au « privacy shield »
Face à la nécessité de s’accorder sur des principes communs nécessaires à garantir un niveau de protection adéquat des données personnelles européennes aux États-Unis, et faisant suite à l’ultimatum[10] fixé pour fin janvier 2016 par le G29[11], la Commission européenne et les États-Unis ont fini par trouver un terrain d’entente. Le 2 février 2016, ils sont tombés d’accord sur un nouveau cadre normatif au transfert transatlantique des données à caractère personnel suite à l’invalidation du Safe Harbor par la Cour de justice de l’Union européenne dans l’arrêt Schrems du 6 octobre 2015[12]. Ce texte instaure un « privacy shield » ou « bouclier de protection de la vie privée ». Le département fédéral du commerce devra désormais contrôler que les entreprises américaines publient des engagements obligatoires et soumis au contrôle de la Federal Trade Commission (FTC), sorte de DGCCRF américaine :
- Toute entreprise traitant des données personnelles en provenance de l’Europe devra s’engager à respecter les décisions des autorités nationales de contrôle des États membres ;
- Les États-Unis ont accepté que l’accès aux données par le gouvernement américain fasse l’objet de limitations claires et qu’il soit nécessaire et proportionné ;
- Les États-Unis s’engagent à exclure la surveillance massive des données personnelles transférées ;
- Un examen commun annuel sera réalisé par la Commission européenne et le Département du commerce américain, avec l’aide d’experts de l’intelligence nationale des États-Unis, ainsi que des autorités nationales de contrôle ;
- Les entreprises devront répondre aux requêtes des citoyens européens dans des délais limités. Les autorités de contrôle européennes pourront en référer au Département du commerce et de la Federal Trade Commission ;
- Un mode alternatif de résolution des litiges sera gratuitement mis à leur disposition ;
- un médiateur sera nommé concernant les requêtes portant sur l’accès aux données par les autorités de l’intelligence nationale.
Cependant, des doutes ont très vite été formulés, notamment car aucun document formel sur le contenu des obligations du « EU-US Privacy Shield » n’a été communiqué au G29 aux fins de vérifications. Si les États-Unis se disent prêts à limiter la collecte en vrac de données de citoyens européens dans le cadre du « Privacy Shield »[13], rien dans leur législation (en dehors du Judicial Redress Act[14]) n’incite à voir en cette déclaration autre chose d’une simple annonce sans lendemain. Aucune législation commune à l’Europe et aux États-Unis ne semble prévue. De plus, certaines exigences de la CJUE sont ignorées comme l’existence d’un droit de recours juridictionnel (article 47 de la Charte fondamentale de l’UE[15]). Plus grave, l’engagement d’arrêter la surveillance massive n’est assorti d’aucun contrôle réel. Enfin, plusieurs exceptions demeurent, et notamment celles renforçant les obligations de coopération en matière de corruption internationale (fondée sur le FCPA[16]). Dès lors, ce « privacy shield » risque d’être une nouvelle fois conçu comme une sorte de passe-droit au futur règlement européen sur la protection des données.
Néanmoins, cet accord doit encore être approuvé par la CNIL et ses homologues européens d’ici leur réunion des 12 et 13 avril prochain. Le débat FBI-Apple sur le déverrouillage d’un iPhone pourrait bien avoir un impact sur cette décision. Pour Paul Bernal, professeur de droit à l’Université d’East Anglia en Angleterre interrogé par le média sillicon.fr[17], « si Apple perd la partie face au FBI et que les autorités peuvent effectivement placer une backdoor dans un téléphone, alors cet accès sera encore plus facile ». Jacob Kohnstamm, président de l’autorité néerlandaise de protection des données et qui siège au groupe de travail de l’article 29, a quant à lui indiqué être « inquiet par le contrecoup de cette affaire sur la confiance des utilisateurs, si les entreprises peuvent proposer des niveaux de sécurité faibles dans leurs produits »[18]. Les autorités européennes de protection des données se rappellent, en effet, qu’alors que l’Union européenne a signé avec les États-Unis un accord particulier sur les données échangées lors d’enquêtes criminelles, le gouvernement américain a demandé à un tribunal américain d’accéder à des mails (dans une affaire de trafic de drogue) hébergés sur des serveurs de Microsoft en Irlande.
Les autorités européennes de protections des données[19], qui ont récemment rappelé les règles de sécurité qui s’imposent aux utilisateurs du site Internet de publication des informations personnelles suite à la condamnation en première instance en Belgique de Facebook pour avoir « traqué » des internautes en dehors de ses pages, auront dès lors la lourde tâche de valider ou d’invalider cet accord[20].
Le futur « paquet protection des données » européen
En janvier 2012, la Commission européenne présentait sa réforme de la protection des données dans l’UE afin que l’Europe s’adapte à l’ère numérique (IP/12/46). En décembre 2015, après cinq années de négociation, un accord législatif[21] a été adopté par la commission des Libertés civiles, justice et affaires intérieures (LIBE) du Parlement européen dans le but d’adapter le droit à la vie privée à la révolution numérique. Les négociateurs avaient subi dès le début un important lobbying des industries numériques.
Les eurodéputés devraient adopter en mars 2016 ce « paquet protection des données » composé d’un règlement et d’une directive qui, à partir de 2018, devra alléger les contrôles à priori sur les entreprises, mais accroître les sanctions a posteriori. Le règlement devrait permettre aux citoyens de l’UE de maîtriser leurs informations personnelles contre l’abus de leur usage par « les sociétés internationales actives dans le domaine d’Internet »[22]. Le projet d’accord prévoit, en effet, des sanctions de 4% du chiffre d’affaires mondial pour les entreprises (art. 79). Le pourcentage peut sembler modeste, mais il peut conduire à une amende considérable pour les multinationales du secteur. Or, jusqu’à présent, les sanctions en cas de non-respect étaient particulièrement légères. La CNIL a, par exemple, infligé à Google une amende de 150 000 euros début 2014, une bien faible somme pour le groupe américain.
Le projet prévoit également de nouveaux droits pour les consommateurs[23] tels que :
- La limitation du profilage (20) ;
- La consécration du droit à l’oubli déjà garanti par la Cour de justice de l’Union européenne depuis sa décision du 13 mai 2014 Google Spain NL[24]: le règlement prévoit la suppression des données à la demande de l’individu, dès lors qu’il ne souhaite plus leur conservation et qu’aucun motif légitime ne la justifie. Notons que s’agissant des moteurs de recherche, il s’agira en réalité d’un déférencement.
- Un accès plus simple aux données personnelles;
- Un droit à la portabilité des données : il sera plus facile de transférer les données personnelles d’un prestataire de services à un autre. Chaque service devra donc fournir à l’utilisateur ses données dans un format exploitable et importable par ses concurrents ;
- Un droit d’être informé en cas d’accès non autorisé aux données personnelles;
- Un garde-fou contre les « consentements » ambigus (art. 6.1) ;
- Le texte devrait également donner le droit aux utilisateurs européens de services de groupes non européens de porter plainte dans leur propre pays (art.51). Jusqu’ici, Facebook ou Apple jouaient sur le fait que leur siège européen était en Irlande pour renvoyer les plaignants vers la cour de Dublin ;
- Toutes les entreprises traitant des données devront nommer un responsable de la protection des données qui, de surcroît, devra avoir « une expertise juridique» dans ce domaine. La responsabilité du contrôleur des données nommé dans chaque entreprise et de celui qui traite ces données sera engagée conjointement (art. 77)[25]. Précisons toutefois que les PME sont exemptées de l’obligation de désigner un délégué à la protection des données dans la mesure où le traitement des données n’est pas leur cœur de métier.
Si ces nouveaux droits peuvent semble être une contrainte pour les entreprises du secteur, celles-ci pourraient bien en tirer quelques avantages non négligeables. La réforme de la protection des données stimulera, en effet, la croissance économique en réduisant les coûts et les charges administratives pour les entreprises européennes, notamment pour les PME, permettant à ces dernières de conquérir de nouveaux marchés. La réforme devrait notamment mettre un terme aux notifications aux autorités de contrôle qui constituent une formalité qui représente un coût de 130 millions d’euros par an pour les entreprises. De plus, les PME ne seront pas obligées de procéder à une analyse d’impact, à moins qu’il n’existe un risque élevé[26].
Néanmoins, le texte européen est considéré par certains comme n’étant pas tout à fait aussi ambitieux que l’on aurait pu le souhaiter :
- La question de l’accord parental nécessaire pour s’inscrire sur un réseau social n’a fait l’objet d’aucun accord ;
- De plus, les opérateurs du secteur peuvent désormais formuler de simple déclaration de la conformité de leur système à la législation en vigueur, ce qui évite le contrôle a priori des autorités chargées de la protection des données. Il n’existe donc plus qu’un contrôle a posteriori ;
- En outre, la liste des avantages offerts aux petites et moyennes entreprises (PME) évoquée précédemment pourrait pousser des multinationales américaines à créer des PME pour exercer leurs activités au sein de l’Union européenne, dans le seul but d’échapper aux règles les plus contraignantes du droit européen de la protection des données ;
A contrario, de nombreuses entreprises semblent s’inquiéter de ces nouvelles règles, qui restreignent largement leur champ d’action. C’est notamment le cas de l’industrie publicitaire[27]. Certains acteurs de cette industrie préviennent que les géants comme Google ou Facebook, qui ont à la fois des liens directs avec les internautes et des plateformes publicitaires, y gagneront.
Par ailleurs, le projet devra également déboucher sur une directive (NIS) qui devrait instaurer une meilleure collaboration technique des services de police de l’Union dans la transmission et l’échange des fichiers. En effet, les industriels comme les agences nationales de cybersécurité militent pour harmonisation des règles entre les différents pays européens afin de protéger plus efficacement leurs actifs critiques[28]. La directive devrait garantir que les données des victimes, des témoins et des suspects soient dûment protégées dans le cadre d’enquêtes criminelles et d’autres actions des pouvoirs publics. Elle devrait également faciliter la coopération transfrontière entre les forces de l’ordre afin de lutter contre la criminalité et le terrorisme de façon plus efficace dans toute l’Europe.
Ce projet européen répond à une véritable attente et s’inscrit dans le projet de marché unique numérique, porté par la Commission européenne, qui doit faire tomber les barrières entre pays sur le numérique, en unifiant les lois. Plus de 90 % des Européens déclarent qu’ils souhaitent que les mêmes droits en matière de protection des données soient appliqués dans l’ensemble de l’Union européenne, et ce, indépendamment du lieu où leurs données sont traitées[29]. Selon un récent sondage Eurobaromètre, 67 % des Européens déclarent être inquiets de ne pas avoir l’entière maîtrise des informations qu’ils fournissent en ligne et s’inquiètent de l’utilisation que les entreprises pourraient faire des informations qu’ils ont divulguées. La réforme de la protection des données devrait dès lors renforcer le droit à la protection des données, droit fondamental de l’Union, en leur permettant d’avoir confiance dans les services auxquels ils fournissent leurs données personnelles. Néanmoins, l’harmonisation aboutissant au futur règlement européen sera forcément un compromis entre les différents droits nationaux. Ainsi, toute la difficulté sera de respecter les différentes sensibilités nationales tout en garantissant la protection des données personnelles, l’innovation et le développement économique.
Cette difficulté pourrait expliquer les réticences du Conseil à avancer sur le paquet législatif relatif à la protection des données. En réaction, le parlement européen a refusé, en mars 2016, d’inscrire à l’ordre du jour un projet de directive portant sur l’instauration d’un système d’enregistrement des données des passagers aériens censé permettre de mieux lutter contre le terrorisme. Les parlementaires ont ainsi fait savoir leur volonté de bloquer tout projet de gestion libérale ou sécuritaire des données à caractère personnel avant l’adoption de ce paquet[30].
Enfin, une fois ce paquet adopté, la Commission travaillera en étroite collaboration avec les autorités chargées de la protection des données des États membres afin d’assurer une application uniforme des nouvelles règles. Au cours de la phase de transition de deux ans, la Commission informera les citoyens de leurs droits et les entreprises de leurs obligations. Les autorités chargées de la protection des données devront renforcer leur coopération à l’avenir, notamment au moyen du mécanisme de guichet unique, afin de résoudre les affaires transfrontalières de protection des données[31].
***
Par conséquent, si la Cour de justice de l’Union européenne, par les décisions rapportées ci-dessus, place plus que jamais au cœur des droits fondamentaux de l’Union, le droit à la protection des données personnelles et le droit à la vie privée, l’Union européenne doit continuer à renforcer ses moyens lui permettant de devenir un espace protecteur des données pour le monde entier. Il n’en demeure pas moins que s’il n’est pas parfait, le standard européen de protection des données à caractère personnel est, incontestablement, en cours de construction et n’interdit pas aux États membres de mettre en œuvre des règles plus exigeantes[32].
Cette protection s’inscrit dans une problématique plus large de cyber sécurité vitale, tant pour les entreprises que pour les États. Il apparait, en effet, fondamental de garantir un niveau élevé de protection des données à caractère personnel pour préserver notre identité, mais également la souveraineté économique et numérique de notre continent.
A l’inverse, la réalisation d’un marché unique du numérique en Europe ne pourra se faire qu’à condition de ne pas faire peser sur nos entreprises trop d’obligations qui entraveraient la marche d’innovation et de création de nouveaux services basés sur le pétrole du XXIe siècle que sont les données. En effet, l’Europe doit parallèlement parvenir à mener à bien les projets de développement du réseau très haut débit, de création de géants européens du numérique, de digitalisation de l’industrie (industrie 4.0), de droit européen de la propriété intellectuelle[33] et de répartitions des fréquences hertziennes nécessaires aux drones et au développement de la 5G[34].
D’où la nécessité de trouver un équilibre viable entre d’une part, une surprotection des données qui nuirait à nos modèles économiques ou leur patrimonialisation, et d’autre part, un système trop libéral dans lequel les citoyens européens subiraient la situation, impuissant, face aux géants du net. La crédibilité de l’Europe de demain se joue dès aujourd’hui, face à des géants américains dominateurs et à l’émergence progressive de champions asiatiques.
Pauline Berdah
Alexandre Mandil