Une information citoyenne au service d'une identité européenne
Réactions, commentaires et débats avec des invités

Glossaire interactif des termes de l'Espace de liberté, de sécurité et de justice
Observatoire législatif de l’Espace européen de liberté, de sécurité et de justice
Veille juridique et documentaire axée sur la Charte des droits fondamentaux de l’Union européenne
Actualités des grands projets de l'Union européenne
Dossiers documentaires thématiques
Actualités sur le rôle de l'Union européenne dans le monde
Une information citoyenne au service d'une identité européenne

Protection des données personnelles et lobbys : nos droits en danger ?  

pdf mise en ligne :22 03 2013 ( NEA say… n° 131 )

DROITS FONDAMENTAUX > Protection des données personnelles

La réforme de la législation relative à la protection des données lancée par la Commission européenne en janvier 2012 cristallise l'attention et les efforts des groupes de pression – très nombreux à Bruxelles – comme l'ont illustré les amendements proposés en commission au Parlement européen. Certains d'entre eux se sont en effet révélés des copies conformes de propositions soutenues par l'industrie. Dans quel contexte ces propositions s'inscrivent-elles ? Qu'en est-il de nos droits ? LobbyPlag nous éclaire sur le sujet.

La réforme de la législation relative à la protection des données lancée par la Commission européenne en janvier 2012 cristallise l'attention et les efforts des groupes de pression – très nombreux à Bruxelles – comme l'ont illustré les amendements proposés en commission au Parlement européen. Certains d'entre eux se sont en effet révélés des copies conformes de propositions soutenues par l'industrie. Dans quel contexte ces propositions s'inscrivent-elles ? Qu'en est-il de nos droits ? LobbyPlag nous éclaire sur le sujet.

 

À l'ère du numérique, la collecte et le stockage de données personnelles sont essentiels. Les données sont utilisées par toutes les entreprises – des banques et compagnies d'assurance aux médias sociaux et moteurs de recherche. Avec la mondialisation, le transfert de données vers des pays tiers est devenu un élément central dans la vie de tous les jours. La Toile ne connait pas de frontières, et l'informatique « en nuage » contribue à la décentralisation du traitement des données.

 

Un sondage d'Eurobaromètre révélait récemment que 70 % des internautes s'inquiètent de la trop grande quantité de données qui échappe à leur contrôle. Or, une baisse de la confiance accordée aux services et outils en ligne freine la croissance de l'économie numérique et du marché unique européen du numérique. Par ailleurs, le droit à la protection des données à caractère personnel est explicitement reconnu par la Charte des droits fondamentaux de l'Union européenne et par le traité de Lisbonne. Le Traité prévoit une base légale pour les règles relatives à la protection des données pour toutes les activités relevant du droit européen conformément à l'Article 16 (traité sur le fonctionnement de l'Union européenne).

 

Afin de répondre à ces inquiétudes et ces obligations légales, la Commission européenne a proposé, le 25 janvier 2012, une réforme complète de la législation européenne sur la protection des données de 1995 afin de renforcer le droit à la confidentialité en ligne, de relancer l'économie numérique européenne et, surtout, afin de fournir aux internautes une plus grande capacité de contrôle de leurs données et de s'assurer que les entreprises qui traitent ces données respectent les règles. Les propositions de la Commission actualisent et modernisent donc les principes inscrits dans la directive sur la protection des données personnelles afin de les adapter à l'ère numérique.  Cela concerne notamment une proposition de règlement établissant un cadre européen général de protection des données et une proposition de directive sur la protection des données personnelles utilisées à des fins de prévention, de détection, d'investigation ou de poursuites d'infractions pénales et des activités judiciaires qui s'y rattachent.

 

Début janvier, Jan Philipp Albrecht, rapporteur pour la proposition de règlement sur la protection des données, et Dimitrios Droutsas, rapporteur pour la proposition de directive sur la protection des données destinée aux responsables de l'application des lois ont présentés leurs rapports à la commission LIBE. Ils y ont exprimé leur soutien sans réserve à un cadre de protection des données cohérent et solide permettant aux personnes de jouir de droits clairs et facilement applicables. Les rapporteurs ont par ailleurs insisté sur la nécessité de mener le débat rapidement et simultanément sur les deux instruments. Quatre commissions du Parlement européen (IMCO, ITRE, JURI et EMPL) doivent formuler une opinion sur le règlement général sur la protection des données tandis que la Commission JURI doit formuler un avis à la commission LIBE sur la directive sur la protection des données destinée aux responsables de l'application des lois.

 

Il va sans dire que ce dossier touche un nombre particulièrement important d'acteurs, et constitue un véritable enjeu pour l'industrie du secteur numérique. Ainsi, certains parlementaires européens ont récemment fait état d'une intensification inédite des pressions dont ils font l'objet pour réduire la portée de la nouvelle législation, jugée trop restrictive. À l'origine de cette campagne, de grands noms du secteur numérique, dont Amazon, eBay, Google, Facebook, la Chambre de commerce américaine (qui représente les intérêts d'entreprises américaines partout dans le monde), la Fédération bancaire de l'Union européenne (qui représente une partie du secteur bancaire européen), DigitalEurope (une fédération qui représente des associations nationales et des entreprises du secteur des technologies de l'information et de l'électronique grand public telles que Apple, HP, Nokia et Samsung), Eurofinas (une organisation financière) et d'autres.

 

Qui plus est, ce « lobbying » ne se limite pas aux poids lourds du secteur. En effet, les autorités américaines ne sont pas en reste lorsqu'il s'agit de défendre les intérêts de ces entreprises. Ainsi, début février, l'Union américaine pour les libertés civiles (ACLU) et d'autres associations défendant les droits et les libertés individuelles (dont EFF et EPIC) ont constaté avec préoccupation que le gouvernement américain déployait des efforts importants pour affaiblir la législation européenne sur la protection des données et l'ont accusé de mener une campagne de « lobbying » sans précédent au profit du secteur industriel. Peu de temps avant, John Rodgers, expert économique pour le département d'État américain, avait prévenu que les États-Unis pourraient engager une « guerre commerciale » si certaines dispositions, telles que « le droit à l'oubli », étaient maintenues. À noter toutefois que certains pays européens militent également pour un assouplissement des règles de protection des données, comme le Royaume-Uni, l'Allemagne, la Suède et la Belgique. 

 

Les pressions du secteur de l'industrie se sont traduites pas des propositions d'amendement que certains parlementaires européens de tous bords ont tirées mot pour mot de documents rédigés initialement par des lobbys. Le premier signal d'alarme a été lancé par l'étudiant autrichien Max Schrems, fondateur de « Europe vs. Facebook », une association militant en faveur de la transparence sur la Toile. L'information, relayée par d'autres organisations, est décryptée par un site internet dédié à ce dossier : LobbyPlag.  

  

LobbyPlag : un outil au service de la transparence

 

LobbyPlag constitue un outil d'analyse intéressant dans ce dossier. Lancée et conçue début février, cette plateforme en ligne propose de comparer les amendements proposés par les parlementaires européens avec les propositions des lobbys représentant l'industrie. Cette comparaison concerne pour l'instant les travaux réalisés au sein des commissions ITRE, IMCO et JURI du Parlement européen. Dans les exemples suivants, les amendements proposés sont calqués mot pour mot sur des documents proposés par les lobbys.

 

LobbyPlag relève que, parmi les amendements proposés, certains pourraient menacer les droits des internautes. Une catégorie d'amendements limiterait ainsi l'application de la législation en offrant une protection bien plus faible pour les données dites « pseudonymes » – autrement dit, les données stockées anonymement ou sous le couvert d'un pseudonyme – que pour les données stockées sous un nom véritable et vérifiable. De plus, cette catégorie d'amendements stipule que la législation ne devrait pas s'appliquer aux données anonymes qui requerraient un temps, des dépenses et des efforts disproportionnés pour être rattachées à une personne physique. LobbyPlag s'inquiète de la carte blanche qui est ainsi offerte aux prestataires de services via la clause de disproportionnalité, qui leur permettrait de juger n'importe quelle mesure trop exigeante en ressources pour ne pas agir conformément à la législation.

 

Quant à la question du consentement, la proposition actuelle contient une clause selon laquelle il ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement. Or, les amendements proposés en la matière suppriment, ou à tout le moins affaiblissent, cette clause et permettent aux entreprises de traiter des données sur base d'un « consentement », même lorsque l'utilisateur n'a pas réellement la possibilité de refuser le traitement de ses données.

 

Les « intérêts légitimes » du responsable du traitement constituent l'une des raisons permettant le traitement des données. La législation actuelle contient en essence une disposition de ce type, et cela a mené à de nombreux abus et au traitement de données pour lequel les personnes concernées n'ont pas nécessairement donné leur accord. Certains des amendements proposés sur base des suggestions de l'industrie aggraveraient cette situation en élargissant la disposition aux « intérêts légitimes » d'un tiers, alors que la proposition de règlement actuelle n'en fait aucunement mention. Ainsi, les responsables du traitement pourraient-ils vendre certaines données à caractère personnel à des tiers, qui pourraient accéder à ces données sans le consentement des personnes concernées.

 

En ce qui concerne les amendes, la proposition de règlement actuelle prévoit qu'elles soient conséquentes en cas d'abus lors du traitement de données à caractère personnel. Certains amendements instaureraient cependant des amendes moins importantes en imposant davantage de critères à l'application de pénalités plus importantes.

 

Pour ce qui est des réclamations liées au traitement des données personnelles, la proposition de règlement stipule que : « tout organisme, organisation ou association qui œuvre à la protection des droits et intérêts des personnes concernées dans le domaine de la protection des données […] devrait avoir le droit d'introduire une réclamation ». Ainsi, les ONG et autres groupes de consommateurs peuvent-ils introduire des actions collectives contre de grands responsables du traitement. Cependant, des amendements introduits en commission IMCO et JURI proposent, eux, de supprimer purement et simplement cette disposition, obligeant ainsi les internautes à agir individuellement. Autrement dit, cela renforcerait la position des entreprises.

 

La proposition de règlement exige des entreprises concernées qu'elles disposent d'un délégué à la protection des données, qui serait effectivement responsable du respect du règlement. Les amendements proposés à ce sujet visent à supprimer cette obligation, ou à tout le moins, à affaiblir le rôle du délégué. Par ailleurs, son indépendance se verrait grandement limitée en raison du retrait de la protection dont ce délégué jouit en cas de licenciements.

 

Par ailleurs, la proposition de règlement octroie aux citoyens des droits d'accès aux données les concernant, ce qui leur permettrait d'exercer un contrôle accru sur leurs données et de s'assurer que les entreprises respectent la législation en la matière. Pourtant, un certain nombre d'amendements visent à limiter ce droit d'accès, en imposant par exemple que toutes données réclamées soient transmises par écrit si le responsable du traitement estime que la transmission de ces données présente un risque élevé de fraude. Autrement dit, cette disposition permettrait au responsable du traitement de fournir les données sous un format papier, plus difficile à analyser et moins pratique pour les internautes qui éprouveraient ainsi des difficultés à exercer leurs droits.  

 

En ce qui concerne les données stockées « dans les nuages » hors Union européenne, le règlement prévoit qu'elles soient protégées dans les faits au même titre que si elles étaient stockées dans l'UE. Cependant, certains amendements visent à limiter les obligations imposées en la matière aux fournisseurs de services dans les nuages.

 

Enfin, la proposition de règlement telle qu'elle est rédigée aujourd'hui fixe un niveau élevé de protection pour l'utilisateur contre le profilage réalisé par les responsables du traitement. Ainsi, selon cette proposition, « toute personne physique a le droit de ne pas être soumise à une mesure produisant des effets juridiques à son égard ». Cependant, les amendements suppriment toute cette partie et la remplacent par la suivante : « une personne concernée n'est pas soumise à une décision inéquitable ou discriminatoire » sans préciser ce qu'« inéquitable » et « discriminatoire » signifient. Il s'agit là d'une menace pour les droits des utilisateurs d'être informés de leur profilage. 

 

David Santy

 

Pour en savoir plus :

 

-            Proposition de directive de la Commission

 

(FR) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:FR:HTML

(EN) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:EN:HTML

 

 

-            Proposition de Règlement de la Commission

 

(FR) http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf

(EN) http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf

 

 

-          Projet de rapport de Jan Philipp Albrecht

 

(FR)  http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pd

(EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pd

 

 

-          Projet de rapport de Dimitrios Droutsas

 

(FR)    http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/915/915162/915162en.pdf  

 

(EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/923/923072/923072en.pdf

 

 

-            LobbyPlag

 

http://lobbyplag.eu/#/compare/overview

 

 

-          Open Rights Group : « Règlementation sur la protection des données : briefing de LobbyPlag »

 

http://www.openrightsgroup.org/ourwork/reports/data-protection-regulation:-lobbyplag-briefing

 

 

-            EUObserver : « Des parlementaires européens copient/collent des amendements de lobbys américains » et « L'administration Obama fait pression sur Bruxelles »

http://euobserver.com/justice/119028

 

 

-          Article du Guardian : « Le Royaume-Uni fait pression aux côtés des États-Unis concernant la règlementation sur la protection des données » 

http://www.guardian.co.uk/technology/2013/mar/07/uk-us-eu-data-protection-rules

 

 

-          Privacy groups (EFF, ACLU, EPIC…) call on government to stop lobbying against EU data law changes

 

http://www.zdnet.com/privacy-groups-call-on-us-government-to-stop-lobbying-against-eu-data-law-changes-7000010721/

 

 

-            Dossier de Nea say sur la protection des données personnelles

 

http://www.eu-logos.org/eu-logos_nea-say.php?idr=4&idnl=129&lang=fra&lst=0&arch=0&nea=129&idssth=204

 

 

-          Europe vs Facebook un étudiant autrichien accuse Facebook (Nea say n° 114)

 

http://www.eu-logos.org/eu-logos_nea-say.php?idr=4&idnl=2254&nea=131&lang=fra&lst=0