Espérant pouvoir voter les amendements avant la pause estivale, le rapporteur à la protection des données personnelles propose cependant de repousser le vote à une date ultérieure encore inconnue. Le lundi 6 Mai, les membres de la commission Libertés Civiles, Justice et Affaires Intérieures se sont réunis dans une session de discussions et de débats concernant les avancées de leurs travaux en matière de protection des données personnelles et de circulation de celles-ci.
Le rapporteur du projet, Jan Phillip Albrecht (Green-DE), s’est montré très optimiste sur l’avancement de son dossier, qui regroupe l’adoption d’un règlement et la modification d’une directive dans un même paquet de négociations. Bien que le rapporteur ait souligné que les consensus sur le sujet sont parfois difficiles à atteindre, et demandent donc un temps supplémentaire qui pourrait repousser encore une fois la date du vote du projet de modification de la directive 95/46/CE et du règlement général sur la protection des données personnelles normalement prévu le 22 Mai à plus tard , il a appelé le Parlement à voter le projet de la Commission et les amendements sur celui-ci dans les plus brefs délais, et surtout avant la pause estivale. Cette rapidité est souhaitée afin de pouvoir négocier rapidement avec le Conseil Européen une défense des données numériques optimale pour les citoyens que de nombreux acteurs de la société civile et du secteur associatif attendent de pieds fermes.
Tant le rapporteur que le représentant de la Commission présent lors de la discussion ont rappelé les objectifs que les institutions européennes, de concert, voulaient atteindre dans la modification de la directive centrale de la protection des données. La directive 95/46/CE est pour le moment la pierre angulaire du droit européen dans ce domaine : par son intermédiaire, l’Union Européenne garantie aux citoyens européens une protection nationale de leur donnée mais également la circulation de ces informations sans répression. L’ancienneté de cette directive, vieille , maintenant, de plus de quinze ans, ne permettait cependant pas au droit européen de garantir pleinement la protection des données des personnes, puisqu’elle était antérieure à l’essor d’internet, des moteurs de recherche et de la numérisation massive des informations, cela malgré l’ajout d’une directive 2002/58/CE ajoutant le principe de confidentialité des mails et des conversations téléphoniques entre autre.
Les institutions européennes depuis 2011 travaillent à la suppression des manques dans ces textes, comme l’a exprimé le représentant de la Commission : reprenant le point de vue de Vivianne Reding, commissaire de la DG Justice, plus que d’organiser une « révolution », le travail de la Commission et du Parlement sur la directive est plutôt de provoquer une « évolution » du cadre juridique de l’Union Européenne pour mieux garantir la protection des données personnelles. Le travail du Parlement n’est pas de créer un nouveau texte mais bien d’adapter l’ancien à l’évolution numérique, tout en le rendant plus contraignant par sa modification en règlement pour harmoniser la protection des données des citoyens dans l’ensemble de l’UE.
A la place de leur porte-parole absent, Wim Van de Camp (PPE-NL) et Carmen Romero Lopez (S&D-ES) ont rappelé l’attachement de leurs différentes familles politiques à certains amendements. Le PPE a ainsi rappelé que la protection des droits des citoyens, d’une priorité évidente, devait cependant aller de pair avec un fonctionnement optimal du marché intérieur. Il est ainsi crucial selon Wim Van de Camp d’alléger les charges administratives concernant l’obligation de rendre des comptes sur l’obtention d’informations pour les PME, de clarifier les responsabilités du contrôleur de données et de toutes personnes traitant celles-ci et de ne pas créer d’entrave à l’activité économique en posant trop de barrières à l’utilisation des données à des fins économiques. Enfin, le parlementaire invite à partager les vues de son parti, favorable à l’autogestion des entreprises par un code de conduite régissant l’utilisation des données personnelles plutôt qu’à une démarche administrative dont le risque serait qu’elle soit lourde et contre-productive, et à la réflexion sur les principes de mobilité des données et de droit à l’oubli.
Parlant au nom des sociaux-démocrates, Carmen Romero Lopez a insisté sur la nécessité des amendements apportés par le Parlement concernant le droit pour l’individu de retirer son consentement à l’utilisation de ses données personnelles, acte que l’eurodéputée juge encore trop souvent impossible. Celle-ci a également souligné deux autres points qu’il est urgent de mettre en relief selon les socialistes : il faut que les entreprises de sous-traitance aient les mêmes contraintes et les mêmes devoirs dans leur utilisation des données personnelles que les entreprises à l’origine de l’accumulation de ces données, et veiller à garantir une forme de cohérence dans le contrôle des informations, afin qu’un particulier les demandant , voulant les suivre ou faire un recours contre leur utilisation puisse consulter l’organisme de contrôle le plus proche de lui géographiquement et culturellement quand l’entreprise utilisant des données personnelles le concernant a son responsable du contrôle des données dans un état-membre différent du sien. Ce problème devrait être réglé par une étroite coopération entre les différentes agences de protection des données européennes et les entreprises concernées, l’agence du pays d’origine supervisant le travail des différentes instances concernées.
Sophie In’t Veld (ALDE-NL), vice-président de la LIBE et présidant la séance, a pour sa part exprimé son souhait de prendre en compte la protection des données anonymes, les experts confirmant que les informations anonymes recoupées avaient la même précision et la même valeur que les informations personnelles nominales. Le représentant de la Commission Européenne a appuyé les vues de la vice-présidente libérale grâce à l’exemple d’une étude américaine qui avait bel et bien prouvé que le recoupage de quatre informations anonymes simples (âge, sexe, ville, date de naissance), permettaient d’identifier correctement 95% de la population américaine.
La discussion du lendemain a été un moment de clarification de la démarche du Parlement d’articuler la directive et le règlement dans le même paquet de négociation, sans pour autant tenter de fusionner l’un et l’autre dans un nouveau texte comme des rapports parlementaires antérieurs le suggéraient. Absente lors de la première journée de discussion, Cornelia Ersnt (GUE-DE) a résumé les positions de sa famille politique, très favorable au travail des deux rapporteurs tant sur la directive que sur le règlement. Elle a aussi signalé que les amendements du Parlement sur la modernisation du droit européen sur la protection des données personnelles et la circulation de ceux-ci étaient cruciaux pour un certain nombre d’autres paquets dont la Commission Liberté Civiles s’occupe, parmi lesquels toutes les questions relatives à une possible fusion de CEPOL et EUROPOL. Les deux rapporteurs ont semblé très réceptif à ces affirmations, le rapporteur, Demetrios Droutsas, ajoutant que l’avancée des travaux sur la protection des données étaient complémentaires de celles des paquets concernant l’utilisation des données des passagers à des fins de lutte contre le terrorisme, le blanchiment d’argent, le futur paquet Europol, et qu’il fallait crée plus de liens entre ces différentes affaires, chacune donnant à l’autre des moyens de progresser. Jan Albrecht quant à lui a confirmé que toutes ces politiques étaient imbriquées l’une dans l’autre, car les discussions sur Europol peuvent aboutir à un système de normes communes et contraignantes dans le système juridique des états-membres, qui ont tendance à harmoniser naturellement la situation juridique des états-membres sur cette question, accroissant ainsi la capacité de protéger des données à échelle européenne et leur circulation par une coopération des moyens de contrôle et des moyens policiers plus aisée.
La discussion de ces deux jours a été animée par quelques rumeurs concernant des divergences entre le Parlement et un certain nombre de membres du Conseil, que plusieurs parlementaires ont rapportées. Ces différences concernent la question de faire glisser le paragraphe concernant les services publics du règlement à la directive, auxquels les parlementaires sont opposés, mais qui trouverait un écho favorable au sein de certains états-membres. Le rapporteur Albrecht a été clair sur le sujet : ce changement se ferait au détriment de la protection des citoyens, car le règlement est contraignant pour les états-membres dans les fins et dans les moyens, et il garantit donc une harmonisation qui contribue à une meilleure coordination entre CNIL et services de polices nationaux dans ce domaine, et donc à une meilleure protection de ces données. Toute réduction des cas régis par le règlement contribue à une réduction de fait de la protection des citoyens.
Les objectifs principaux des deux textes qui la remplaceront sont d’adapter la défense des données personnelles à l’évolution du numérique par des politiques de défense des citoyens européens (limitation de la capacité des acteurs économiques à profiler ou faire du « IP tracking », droit à l’oubli, clarté des clauses de confidentialité obligatoire pour les entreprises, consentement explicite obligatoire avant traitement des données, possibilité de transport des données accrue) mais aussi par des volets concernant les entreprises (règles de traitement des données européennes se voulant simples et précises pour ne pas nuire à la compétition, sanctions économiques possibles pour effraction des règles régissant la protection des données personnelles, obligations pour les entreprises de plus de 250 employés d’avoir un chargé de la protection des données, enregistrement à la CNIL de l’état-membre ou l’entreprise à son siège sociale au lieu de devoir s’enregistrer à chaque CNIL d’états-membres). Ces modifications, mises dans un règlement, sont complétées par une nouvelle directive qui pose un cadre dans l’utilisation des données personnelles dans les enquêtes criminelles.
Yoann Fontaine
Pour en savoir plus:
– Proposition de directive de la Commission
(FR) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:FR:HTML
– Proposition de Règlement de la Commission
(FR) http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf(EN) http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf
– Projet de rapport de Jan Philipp Albrecht
(FR)
http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pd
– Projet de rapport de Dimitrios Droutsas
(FR) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/915/915162/915162en.pdf
– Enregistrement de la réunion
http://www.europarl.europa.eu/ep-live/fr/committees/video?event=20130506-1500-COMMITTEE-LIBE
http://www.europarl.europa.eu/ep-live/fr/committees/video?event=20130507-0900-COMMITTEE-LIBE
– Dossier de Nea say sur la protection des données personnelles
http://www.eu-logos.org/eu-logos_nea-say.php?idr=4&idnl=129&lang=fra&lst=0&arch=0&nea=129&idssth=204