Une information citoyenne au service d'une identité européenne
Réactions, commentaires et débats avec des invités

Glossaire interactif des termes de l'Espace de liberté, de sécurité et de justice
Observatoire législatif de l’Espace européen de liberté, de sécurité et de justice
Veille juridique et documentaire axée sur la Charte des droits fondamentaux de l’Union européenne
Actualités des grands projets de l'Union européenne
Dossiers documentaires thématiques
Actualités sur le rôle de l'Union européenne dans le monde
Une information citoyenne au service d'une identité européenne

Protection des données à caractère personnel : état des lieux au moment où la Commission engage une vaste consultation générale (cf. autre information dans Nea Say) La Protection des données, un droit fondamental, une réforme ambitieuse du cadre juridique actuel dans un environnement mondialisé

pdf mise en ligne :07 11 2010 ( NEA say… n° 97 )

DROITS FONDAMENTAUX > Protection des données personnelles

L’enjeu  dépasse celui d’une simple mise à jour du cadre juridique et de la Directive de base 95/46 dont l’ancienneté n’est pas à souligner : la situation de 1995 était sans commune mesure avec celle d’aujourd’hui. Au cours de ces dernières années on a assisté à une explosion technologique : les derniers avatars étant les réseaux sociaux, les techniques de géolocalisation, la publicité comportementale, les RFID et l’internet des objets etc. Elle génère à l'échelle mondiale des volumes croissants de données personnelles et pose des questions nouvelles quant à leur gestion.

L’enjeu  dépasse celui d’une simple mise à jour du cadre juridique et de la Directive de base 95/46 dont l’ancienneté n’est pas à souligner : la situation de 1995 était sans commune mesure avec celle d’aujourd’hui. Au cours de ces dernières années on a assisté à une explosion technologique : les derniers avatars étant les réseaux sociaux, les techniques de géolocalisation, la publicité comportementale, les RFID et l’internet des objets etc. Elle génère à l'échelle mondiale des volumes croissants de données personnelles et pose des questions nouvelles quant à leur gestion.

Comment peut-on engager des discussions avec les Etats-Unis (pas seulement au sujet de Swift ou des données des dossiers passagers, dits PNR) et avec d’autres partenaires, comment envisager un PNR universel, sans au préalable avoir mis un peu d’ordre chez soi ? Le risque est grand que la protection des données ne perde de sa pertinence et de son efficacité dans une société de plus en plus influencée par des bouleversements touchant la société dans ses profondeurs. L'enjeu consiste à garantir la vie privée et la protection des données dans une société de l'information hautement développée et accroître la confiance des citoyens dans les nouvelles technologies de l’information. C’est aussi un élément important de l’Agenda numérique qui vient d’être adopté par la Commission.

Mais qu’est-ce que la vie privée ? Sa définition représente un défi redoutable qui touche le coeur des sociétés et les valeurs communes de l’UE. Ses frontières bougent et certains analystes évoquent déjà une société de la « post privacy ». Une approche unitaire entre 27 Etats membres sera difficile à réaliser ; elle ne sera pas spontanée. Or seul un projet ambitieux peut s’assurer que notre vie privée et nos données personnelles sont bien protégées, non seulement aujourd’hui mais également dans l'avenir (2020-2030). Les propositions  ne pourront se contenter d’une simple mise à jour : une simple consolidation de l’existant serait largement insuffisante même s’il serait utile pour la pratique et la sécurité juridique, tant la jurisprudence et les actes réglementaires ont décuplé. Prolifération juridique, mais aussi prolifération d’ordre institutionnel : les acteurs appelés à connaître, réguler, appliquer, évaluer sur le sujet sont nombreux. Leurs interlocuteurs sont également nombreux car la société civile est particulièrement vigilante et active dans ce domaine – plus que ne l’est l’opinion publique moyenne encore insuffisamment sensibilisée, les jeunes plus particulièrement.

Le cadre institutionnel déborde largement le cadre de l’Union européenne ou simplement l’Europe elle-même. La protection des données s’invite dans de nombreux dossiers : paquet télécommunications, lutte contre la contrefaçon et le droit d’auteur, gouvernance de l’Internet (en particulier la prise en compte du droit à l’oubli, trafic sur les identités, voire leur usurpation), lutte contre la cybercriminalité, le terrorisme, la pédopornographie, la criminalité organisée internationale. Luttes qui doivent être encadrées soigneusement sous peine de dérives attentatoires aux libertés individuelles.

Rôle du Parlement européen, sa valeur ajoutée propre

La protection des données suppose un débat sociétal de grande ampleur et la vocation naturelle du Parlement européen est de mener ce débat avec l’ensemble des élus et des assemblées parlementaire afin garantir la diversité des cultures et des traditions et de façon la plus appropriée possible. C’est là que se situe le débat sociétal plus que dans la consultation, utile mais brève, qu’engage la Commission européenne. Le Parlement européen doit également conforter sa réputation dans un domaine où sa crédibilité acquise au cours des dernières années est grande.

Situation actuelle et perspectives

La Commission s’est livrée à l’exercice de consultation des parties prenantes, elle vient de présenter ses premières conclusions (cf. autre information)et de les soumettre à la consultation et ce la, faut-il le rappeler aussi dans le cadre  du Programme d’action de Stockholm.

En juillet 2009, la Commission européenne a lancé une consultation sur l'avenir du cadre juridique actuel pour la protection des données en vue de recueillir des avis sur la façon de répondre aux nouveaux défis posés par les nouvelles technologies et la mondialisation dans le domaine de la protection des données. La consultation a également été motivée par l'adoption du traité de Lisbonne, qui doit entraîner un remaniement de la structure du cadre juridique communautaire pour la protection des données avec notamment la disparition des « piliers » et la quasi généralisation de la co-décision.

Le message central

Une des contributions les plus importantes à la consultation de la Commission a été présentée par le Groupe de travail de l'article 29 sur la protection des données et le Groupe de travail "Police et Justice", les deux comprenant des représentants des autorités nationales de protection des données dans l'UE et le Contrôleur européen des données (CEPD). Le message central de cette contribution est que les grands principes de protection des données sont toujours d'actualité en dépit des nouvelles technologies et de la mondialisation. La robustesse des concepts a permis d’assurer leur pérennité. Toutefois, le niveau de protection des données dans l'UE devrait bénéfcier d'une meilleure application des principes existants (à homogénéiser au sein des 27 Etats membres), d’un meilleur suivi et d’évaluations régulières.

Toutes les réfexions, propositions connues à ce jour impliquent une révision de la directive européenne de la protection des données (Directive 95/46/CE), qui est le texte de référence, la pierre angulaire au niveau européen, sur la protection des données à caractère personnel. Mais il s’agit d’aller bien au-delà en intégrant les éléments pertinents appartenant aux autres politiques, l’Agenda numérique est l’exemple le plus récent, mais n’est pas le seul, la politique de sécurité en est un autre exemple, notamment la coopération policière et judiciaire en matière pénale ainsi que la PESC . La globalité va donc bien au-delà des frontières de l’UE . Mais tout cela ne peut se faire au détriment de la nécessité d’un cadre global et unique : cette nécessité a été réaffirmée avec force par le G29. Unicité du cadre juridique tout comme a aussi été réaffirmé l’ impératif d’une culture de la protection des données solidement ancrée dans la société.

Les principaux éléments du cadre juridique, global et unique

Un cadre juridique global unique est une condition essentielle pour protéger efficacement les données personnelles. Les principaux éléments à signaler se trouvent dans le programme de Stockholm, des interventions du Contrôleur européen des données et tout particulièrement dans l’avis du G29 :

      -. 1 Le programme de Stockholm a retenu, notamment, la mise en place d'un système de certification européenne pour les technologies, les produits et les services « respectueux de la vie privée ». Proposition que le G29 a reprise à son compte

      -. 2 Le Contrôleur européen des données a mis en évidence trois axes essentiels

- l'intégration des principes de « privacy by design » et « privacy by default » dans les technologies de l'information et de la communication en réponse à la conduite récente de Google;

- une plus grande responsabilité pour les responsables du traitement : les responsables du traitement doivent être rendus davantage responsables du respect des règles de protection des données dans la pratique. Cela apporterait une valeur ajoutée significative dans la mise en oeuvre effective de la protection des données et aiderait considérablement les autorités de protection des données dans leurs tâches de supervision et d'exécution ;

- des pouvoirs d'exécution plus forts pour les autorités de protection des données : il est essentiel que les autorités de protection des données disposent de ressources suffisantes pour exercer leurs tâches de surveillance et, si nécessaire, faire respecter les règles de protection des données.

-. Le G 29 a retenu 7 éléments constitutifs du cadre juridique « global et unique »

-.Un cadre global unique

La Directive 95/46 a été conçu comme un cadre unique général susceptible d’être complété par des régimes spécifques. Jusqu’à présent, un seul a été adopté celui relatif au secteur des communications électroniques. En outre plusieurs instruments législatifs sectoriels prévoient des règles spécifques (blanchiment d’argent, législation douanière, système Vis, Eurodac, ou SIS II).

Les lacunes actuelles imposent de réféchir à un cadre de protection global et cohérent couvrant tous les domaines de compétences de l’UE. Les garanties essentielles et les notions clé (par exemple le consentement) devraient s’appliquer dans tous les secteurs. Une approche intégrée garantira exhaustivité, cohérence efficacité.

L’existence d’un cadre global unique reposant sur une base juridique unique n’interdit pas des règlements supplémentaires spécifques (santé publique, transports intelligents, certifications et audits, coopération policière et judiciaire). Des règlements nationaux supplémentaires peuvent être envisagés pour tenir compte des différences culturelles et de l’organisation interne des Etats. Une harmonisation accrue reste indispensable dans un cadre unique et non équivoque sans lequel l’impression de conglomérat disparate persisterait avec des pratiques très hétérogènes au niveau de 27 Etats.

-.La mondialisation

Dans l’UE la protection des données est un droit fondamental, dans d’autres régions du monde cette nécessité est reconnue mais pas nécessairement avec le statut d’un droit fondamental. Dans un monde globalisé, cela signifie que les personnes physiques peuvent réclamer la protection de leurs données si elles font l’objet d’un traitement à l’extérieur de l’Union européenne. Or la portée exacte de la Directive 95/46 n’est pas suffisamment claire.

On ne sait pas toujours si le droit de l’UE est applicable, quel droit national et quel(s) droit(s) s’appliquerai(en)t lorsque plusieurs établissements d’une multinationale sont implantés dans différents états. Il devient indispensable d’élaborer des normes globales internationales.

La « résolution de Madrid », proposition conjointe de normes internationales pour la protection de la vie privée adoptée le 6 novembre 2009 par la Conférence internationale des commissaires à la protection des données et de la vie privée est un élément de référence incontournable. Il ne peut y avoir une refonte du cadre juridique global sans au moins un examen de la faisabilité d’un cadre international contraignant. La résolution de Madrid devrait constituer la base universelle d’une telle législation. A tout le moins en l’absence de normes globales ou de législation appropriée que soit assurée la création d’autorités indépendantes chargées de la protection de données. Des accords internationaux doivent être envisagés et l’accord transatlantique actuellement envisagé pourrait servir de modèle expérimental pour l’échange avec d’autres pays tiers et à d’autres fnalités. Enfn ne doivent pas être ménagés des efforts pour promouvoir et faciliter l’utilisation et l’approbation des règles d’entreprises contraignantes par le biais de la pratique de la « reconnaissance mutuelle ».

-.Les évolutions technologiques

Elles sont bénéfques mais ont accru les risques. D’où la nécessité de prendre en compte le principe du respect de la vie privée dès la conception (traitement loyal et licite, limitation des finalités, pertinence exactitude, durée de conservation limitée, responsabilité) avec en plus des règlements applicables à des contextes technologiques spécifiques comme les identificateurs biométriques, les video-surveillances, les noms des patients, l’état de santé et le traitement médical avec la possibilité pour les personnes concernées d’annuler leur consentement ce qui aurait pour conséquences de supprimer immédiatement les données de tous les serveurs concernés.

La formation du personnel informatique doit être assurée. Les principes de la protection des données devraient servir de base à l’attribution de labels de qualité par un système de certifcation dans le cadre d’audits de la protection des données. -.Habilitation et rôle des personnes concernées (voies de recours, transparence, consentement, harmonisation).

La place des citoyens et des personnes concernées doit être revue de fond en comble en raison des évolutions sociologiques des comportements et des méthodes de collecte des données comme le profilage par exemple. Les personnes doivent être protégées contre elles-mêmes. Elles doivent en toute circonstance jouer un rôle plus actif : les voies de recours y compris les recours collectifs doivent être facilitées et sans risque financier ou coût excessif pour elles. Elles doivent savoir qui traite les données et sur quelle base, à quelles fins et cela sur une base compréhensible (principe de transparence). Le consentement doit être accordé librement, être une manifestation de volonté libre, spécifique et informée notamment sur les conséquences de la décision de la personne concernée. Le consentement doit être donné explicitement. De plus à l’heure actuelle, les personnes se heurtent à l’absence d’harmonisation entre les législations nationales transposant la Directive 95/46.

-.Renforcement de la compétence des responsables du traitement des données.

Le responsable du traitement des données (et les sous-traitants) est l’acteur clé : l’obligation de se conformer aux obligations de la Directive est claire : notification aux autorités nationales et vérification préalable de la légalité des opérations de traitement des données. Néanmoins le respect de ces obligations est trop souvent insuffisamment intégré dans les pratiques internes et la culture des organisations. Les mesures techniques et d’organisation qui s’imposent aux responsables du traitement sont clairement identifiées. Parmi elles se dégagent les notifications des opérations, elles s’imposent car à chaque notification correspond une sensibilisation accrue du personnel en charge des traitements aux pratiques liées à la protection de ces mêmes données. Mais il y a lieu de s’interroger sur le degré de rationalisation et de simplification des notifications : si et dans quelle mesure la notification ne peut-elle pas être limitée aux cas de menace grave contre la protection de la vie privée, ce qui permettrait aux autorités d’être plus sélectives et de concentrer leurs efforts sur ces situations plus spécialement sensibles.

-. Rôle plus important et plus précis des autorités chargées de la protection des données et renforcement de leur coopération au sein de l’UE.

Il existe actuellement d’importantes disparités ente les 27 Etats membre en ce qui concerne le rôle des autorités chargées de la protection des données, leurs ressources et leur pouvoirs. Ces disparités résultent de l’histoire, de la jurisprudence, de la culture et de l’organisation interne de chaque Etat membre. C’est aussi le résultat des imprécisions de la directive 95/46 et de ses transpositions incomplètes ou divergentes. Le nouveau cadre devrait garantir l’application de normes homogènes, notamment en matière d’indépendance (institutionnelle, fonctionnelle et matérielle), en matière de pouvoirs réels et plus particulièrement dans le processus législatif.

Des pouvoirs plus homogènes, mais aussi plus précis, des pouvoirs indispensables comme de     disposer de la faculté d’infliger des sanctions financières aux responsables du traitement des données qui se révèleraient défaillants. A leur tour, ces autorités chargées de la protection des données doivent être transparentes et rendre compte publiquement de leurs actions, de leurs priorités.

Le principe du « cadre juridique unique et global » s’applique également aux autorités de contrôle de la protection des données : le groupe de travail « Police et justice » qui remplit une fonction similaire à celle du G29, mais sans base juridique, ni secrétariat, ni aucune coopération institutionnalisée entre les autorités. En attendant une modification législative des modalités de coopération devront être trouvées. Le groupe de travail G29 lui-même devrait continuer à prêter tout l’attention requise pour améliorer son fonctionnement :

- . mise en oeuvre homogène de la législation de l’UE et l’application homogène des législations nationales ;

-. amélioration de son efficacité vis-à-vis des institutions européennes, en particulier de la Commission, en tenant compte du rôle hybride de la Commission : membre du G29, assurant le secrétariat et destinataire de la plupart des avis du Groupe.

-.Les défis de la protection des données dans le domaine de la police et de la lutte contre la criminalité.

Il s’agit d’un sujet très spécifique à ce jour traité de façon très incomplète. Il offre de nouvelles perspectives pour le travail législatif compte tenu de l’entrée en vigueur du traité de Lisbonne qui requiert une attention toute particulière, notamment dans la recherche du juste équilibre entre les besoins qu’exige la lutte contre la criminalité et les exigences de la protection des données. La décision-cadre 2008/977/JAI relative à la protection des données dans le cadre de la coopération policière et judiciaire en matière pénale doit encore être transposée par les Etats membres avant le 27 novembre 2010 et il n’est qu’un premier pas d’autant plus qu’il ne s’applique qu’aux situations transfrontalières et ne prévoie pas d’outils pour réagir à l’évolution des méthodes de travail en matière de lutte contre la criminalité au moment où on assiste à un changement significatif des priorités dans la lutte contre la criminalité. Les informations ne sont plus seulement utilisées dans le cadre d’une enquête ou de la détection d’un crime mais aussi à titre préventif contre d’éventuels actes criminels. Le principe fondamental de la présomption d’innocence s’en trouve érodé subrepticement. Ce sont aussi des groupes plus larges de personnes qui sont visées : ce ne sont plus nécessairement des suspects ou des témoins. Ces informations sont aussi utilisées de façon prédictive sur des comportements futurs éventuels. Sont prises en compte non seulement des données objectives et vérifiées mais aussi des évaluations et des analyses diverses. Beaucoup de ces informations sont issues du domaine privé. Les informations collectées dans un but précis et légitime sont utilisées à des fins différentes parfois incompatibles. La tendance croissante à recouper les informations multiplie les risques d’interconnexion des bases de données aux finalités différentes. De plus en plus d’autorités autres que les autorités judiciaires ou de police interviennent ;

Dans un tel contexte, les défis deviennent immenses : tendance à une société de la surveillance permanente, profilage stigmatisant à priori les personnes appartenant à certains milieux ethniques ou social, multiplication d’inexactitudes importantes, voire de faux, risques spécifiques liés aux données biométriques notamment à l’ADN. La prise en compte du droit d’accès et de rectification par les personnes concernées constitue un autre type de défi.

L’architecture des systèmes de stockage et d’échanges des données, les pratiques, les comportements ne diffèrent pas fondamentalement des autres domaines que l’on vient d’évoquer. Cependant il convient d’attirer l’attention sur certains aspects plus spécifiquement liés à la coopération policière et judiciaire. L’accès à d’importantes bases de données doit être configuré de façon à interdire la consultation directe en ligne et le système dit « trouvé, non trouvé » est préférable. Le choix entre stockage centralisé et décentralisé doit être le résultat d’un examen comparatif soigné, accompagné d’une définition claire du rôle et des obligations des responsables du traitement des données. Le recours aux données biométriques devraient être utilisées uniquement si le recours à d’autres dispositifs moins intrusifs ne permet pas d’obtenir les mêmes résultats.

Sur le plan extérieur, il faut éviter que le système rigoureux d’échanges de données à caractère personnel au sein de l’UE soit contourné et les relations avec les Etats tiers devront s’appuyer sur un cadre précis, contraignant pour toutes les parties et reposant sur un niveau de protection approprié qui serait le résultat d’une évaluation par les autorités nationales chargées de la protection des données.

Il va de soin que dans le domaine de la coopération policière et judiciaire pénale, un contrôle indépendant et judiciaire ainsi que des voies de recours soient également prévus.

Texte de la Directive 95/46

      -. FR http://eurlex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexplus!prod! DocNumber&type_doc=Directive&an_doc=1995&nu_doc=46&lg=fr

      -. EN http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML