La réglementation européenne globale concernant la gestion de l’Internet et des réseaux ayant été édictée en 1995, aux balbutiements du Net, la rénovation débutée en janvier 2012 était donc plus que bienvenue : deux propositions avaient abouti des discussions de la Commission européenne. Une directive spécifiquement tournée sur la protection des données personnelles concernant les secteurs de la police et de la justice est ainsi en cours d’implémentation, tout comme le package plus général de protection des données (General Data Protection Regulation) qui doit être effectif pour mai 2018.
A la suite des révélations d’Edward Snowden sur le programme PRISM durant l’été 2013, un nouveau tournant dans le domaine de la protection et des différents usages, notamment à des fins commerciales, des données au sein de l’Union européenne a été atteint. La Commission s’est de ce fait penchée sur une refonte des éléments qui n’avaient pas été traités par la précédente réforme.
La Commission européenne a rendu publics le 10 janvier dernier quatre mesures ainsi que deux projets de consultations incluant toutes les parties prenantes du secteur du numérique portant sur la création d’une économie européenne fondée sur les données d’une part, et sur l’évaluation de la directive relative à la responsabilité du fait des produits défectueux d’autre part. L’objectif principal de ce nouveau package se centre sur la recherche d’un équilibre entre protection des données personnelles et leur utilisation à des fins économiques et commerciales. La Commission entend par-là mettre à profit le potentiel de l’économie des données tout en y apposant un cadre législatif et juridique tant pour les opérateurs traditionnels que pour les firmes du numérique et les autres opérateurs par contournement (OTT). L’objectif est principal d’assurer dans un tel environnement la protection des droits européens fondamentaux.
En premier lieu, la Commission s’est donc penchée sur l’économie des données personnelles via une communication secondée par un projet de règlement concernant la vie privée et les communications électroniques.
C’est ce dernier texte qui regroupe les initiatives les plus intéressantes, avec notamment pour proposition principale la mise en place d’un principe général qui serait le suivant : la totale confidentialité des communications électroniques. Une unique dérogation est toutefois prévue, mais pas des moindres, celle laissant la possibilité pour les opérateurs de faire usage des données personnelles de leurs clients après avoir préalablement recueilli leur consentement express. La Commission a clairement exigé que la demande de consentement soit réalisée à part de l’acceptation des conditions générales d’utilisation en faisant l’objet d’une disposition spécifique. Elle reste cependant plus floue dans le cas où un client refuserait de donner son consentement pour l’usage de ses données personnelles à la firme concernée : les conséquences dépendraient alors du contrat en question. En effet, si ces données sont jugées « indispensables » au bon fonctionnement du service proposé, l’accès dudit service pourra dès lors être refusé au client, ce qui semble somme toute relativement logique. En ce qui concerne les cookies, ces traceurs permettant de suivre les choix et les comportements des consommateurs, la Commission propose la disparition des bandeaux préventifs propres à chaque site au profit d’un paramètrage en amont du moteur de recherches, lequel devra impérativement fournir une notice explicative de ce procédé et de ses impacts.
Sont exclus de ce texte les bloqueurs de publicités et les logiciels de cryptage. De ce fait, aucune harmonisation des réglementations propres à chaque Etat membre concernant les modalités de conservations des données n’est donc prévue dans ces domaines, en particulier pour les données cryptées que certains gouvernements conservent jusqu’à pouvoir techniquement les ‘craquer’, notamment lorsque l’enjeu de sécurité nationale est concerné. Les Etats membres peuvent être réticents à l’idée d’un tel encadrement de leurs prérogatives, en particulier en ce qui concerne l’enjeu sécuritaire. Néanmoins, une disposition du règlement proposé prévoit déjà une entorse au principe de protection des données personnelles et au respect du droit à la vie privée des citoyens européens : les Etats membres peuvent donc limiter le principe de confidentialité des communications dans le but de sauvegarder leur intérêt général. Les causes de l’éviction des logiciels de cryptage notamment restent donc plutôt floues.
Il est en outre central de souligner que ce texte concerne, en plus des fournisseurs traditionnels en matière de télécommunication, les entreprises offrant des services de communication numérique. L’objectif de cette révision est ainsi de fournir une protection équivalente aux contenus des communications, peu importe leur vecteur, et de permettre leur commercialisation dans le respect du Droit européen. Inclure les fournisseurs de services digitaux divise toutefois. Plusieurs lobbys représentant les firmes digitales se sont aussitôt opposés à ce texte en invoquant deux raisons : d’une part, ces nouvelles restrictions dans l’usage des données vont avoir un impact négatif sur les bénéfices tirés de leurs logiciels et programmes d’analyse ; et d’autre part, de par cette limitation, l’évolution des appareils connectés qui dépend étroitement de la quantité des données recueillies afin de répondre au mieux aux demandes des consommateurs va s’en trouver ralentie. A cela, les partisans de cette réforme leur rétorquent que l’obtention expresse du consentement des consommateurs va justement participer à la consolidation de leur business.
Ce nouveau corpus visant spécifiquement les échanges et les communications entre les individus et les entreprises au sein de l’Union est appelé à compléter le General Data Protection Regulation (GDPR) qui devrait être effectif au printemps 2018. La Commission désire d’ailleurs une implémentation pour ce projet de règlement qui n’excède pas cette date. Les commissaires devront également prendre garde aux potentiels chevauchements entre les deux corpus qui sont à craindre.
Une autre problématique d’imbrication est également à prévoir : dans le cadre de sa stratégie pour un marché numérique unique lancée en mai 2015, la Commission européenne a rendu publique le 13 janvier dernier son intention de procéder à une révision de la directive télécom dont la conclusion est espérée concomitante à l’adoption effective du GDPR. Les télécoms craignent en effet de se voir davantage contraints dans leur potentiel d’exploitation des données personnelles que les firmes numériques, et en particulier les GAFA (Google – Apple – Facebook – Amazon). Cette réforme des télécoms porte, comme son nom l’indique, sur les télécoms et exclut donc de facto les services concurrents digitaux (Skype, WhatsApp, Messenger notamment). Ils mettent en avant une régulation à outrance de leurs services et de leur utilisation des données personnelles des consommateurs qui les handicaperait automatiquement face à ces derniers. Or, le projet de règlement vie privée et communications électroniques concerne autant les deux parties, ce qui vient mettre à mal la stratégie adoptée par les GAFA qui consiste en une démarcation vis-à-vis des services des fournisseurs traditionnels. Une directive spécifique aux télécoms peut donc sembler redondante, à moins que la réforme proposée par la Commission ne soit profonde et n’englobe pas que les spécificités propres aux télécoms.
La crainte principale concernant tant le projet de règlement vie privée et communications électroniques que la révision de la directive des télécoms reste néanmoins le temps. En effet, les précédentes réformes concernant la régulation des services des télécoms, comme des firmes digitales, et notamment leur usage des données personnelles des consommateurs, ont fait l’objet de très (très très) longues discussions qui ont grandement repoussé les délais. Or, l’environnement numérique évolue très rapidement et les mesures à peine adoptées pourraient alors être déjà obsolètes.
En deuxième lieu, la Commission souhaite faciliter, tout en l’encadrant, le commerce des données personnelles des citoyens européens avec des pays tiers – donc extérieurs à l’Union – dont les standards de protection pourraient ne pas correspondre à ceux de l’Union. Le commerce basé sur les données personnelles est en effet en plein essors. D’une part, la conclusion d’accords respectant les fondamentaux de l’Union européenne constitue une priorité pour la Commission, comme le rappelait Jean-Claude Juncker lors de son discours sur l’état de l’Union du 14 septembre dernier : « Being European means the right to have your personal data protected by strong, European laws […] because in Europe, privacy matters. This is a question of human dignity ». D’autre part, les commissaires souhaitent vivement, pour des raisons de santé économique, inclure dans le commerce extérieur de l’Union tout le potentiel de l’économie des données.
La Commissaire à la justice Vera Jourova a ainsi présenté une communication en ce sens le 10 janvier dernier qui vise la protection des données privées dans le cadre international. Elle a ainsi invoqué, en plus de la facilitation des échanges internationaux à visée commerciale de données, sa volonté de favoriser la coopération en matière coercitive en établissant une protection plus étroite et encadrée des données des citoyens européens via l’élaboration de décisions d’adéquation bilatérales. Ces accords ont pour but de permettre aux entreprises et administrations de transférer des données privées de citoyens européens vers des pays tiers qui garantissent, selon la Commission, un niveau de sécurité au moins équivalent à celui offert par l’Union en son sein. L’un des plus connus reste le Privacy Shield, qui est venu remplacer le Safe Harbor après son invalidation par la Cour de Justice de l’Union européenne (CJUE). la Cour avait alors invoqué le non respect de cette clause par ce texte. Cette décision démontre de l’importance que l’Union attache au respect de ses textes fondamentaux et du bon fonctionnement des contre-pouvoirs européens. Le Privacy Shield, fruit de longues et complexes négociations, oblige ainsi les firmes américaines à garantir – dans la théorie du moins – des standards de protection équivalents à ceux dont bénéficient les citoyens européens au sein de l’Union. Dans ce cadre, les deux parties sont parvenues à un compromis limitant l’accès des agences gouvernementales américaines aux données issues de transferts transatlantiques à visée commerciale. Plusieurs organisations et institutions, dont le Parlement européen et le Groupe de travail 29 en particulier, se sont toutefois offusqués de cet accord et ont exprimé de très vives réserves à son sujet. Un nouveau recours mettant en cause cette décision devant la CJUE pourrait donc être à craindre, à moins que les récentes décisions du nouveau Président des Etats-Unis, Donald Trump, ne viennent définitivement achever cet accord. Ces évènements tendent à mettre en lumière la fragilité des décisions d’adéquation et par-là, la certaine instabilité qui règne au sein du commerce international de données personnelles. Cela n’empêche toutefois pas la Commission européenne de prévoir pour 2017 la création d’accords d’adéquation avec l’Asie du Sud et du Sud-Est en priorité, à commencer par le Japon et la Corée du Sud, mais aussi avec les Etats demandeurs d’Amérique Latine et les partenaires du voisinage : la demande est donc bien présente et constitue un réel enjeu économique pour l’Union européenne.
En parallèle de l’enjeu commercial et du dynamisme économique de l’Union, la Commission vise également par cette communication à indiquer sa volonté d’établir dans le domaine pénal des accords-cadres. L’objectif est ici de créer un cadre regroupant des standards généraux de protection des données transférées entre autorités judiciaires et répressives de l’Union européenne avec un pays tiers. La Commission s’est ainsi engagée à renforcer la coopération avec ses partenaires extra-européens afin de soutenir un renforcement du niveau de protection des données personnelles global. Elle milite par exemple auprès d’eux pour la signature et la ratification de la Convention 108 du Conseil de l’Europe et de son protocole additionnel qui porte sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel : Madame Jourova propose dans ce cadre de « guider » et de travailler de concert avec les trente-cinq Etats qui travaillent actuellement à l’élaboration d’une législation dans ce domaine.
Les deux pans a priori opposés de cette communication, à savoir la protection des données et de la vie privée d’un côté et la favorisation du commerce des données de l’autre, semble par cette communication et la position adoptée par la Commission sur ces derniers points se joindre en un package de mesures plutôt équilibrées.
Enfin, la Commission n’entend pas laisser les institutions européennes de côté : elle a, en effet, rendu public un projet de règlement concernant les règles en matière de protection des données personnelles applicables aux institutions européennes.
L’objectif est de moderniser et d’adapter un règlement datant de 2001 au nouveau package européen de protection des données personnelles, le GDPR. Selon ce règlement, les entreprises, mais aussi les administrations publiques et les institutions et agences de l’Union, ont le devoir d’assurer aux citoyens comme aux visiteurs étrangers un certain niveau de sécurité de leurs données qui transitent via leurs services. Les organes européens ont donc, tout comme les Etats membres, de fait le devoir de respecter trois principes introduits par le GDPR : l’effacement des données personnelles, la rectification – soit compléter, verrouiller, mettre à jour ou effacer des données privées lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite -, et la portabilité des données, qui consiste en le droit d’exiger la récupération de ses données à caractère privé sous un format permettant une réutilisation simple et leur transfert vers un autre prestataire, afin de favoriser la concurrence entre ces derniers, mais aussi le contrôle de chacun sur ses propres données. Il s’agit de la première étape, qui vise l’achèvement de la réforme globale introduite par le GDPR.
La seconde étape concerne le contrôleur européen de la protection des données (CEPD). Ce dernier, outre le contrôle, le conseil et le suivi des nouvelles technologies et de leurs conséquences potentielles sur la protection des données personnelles, assure en plus la gestion des plaintes ainsi qu’une étroite collaboration avec les gouvernements nationaux et les organes européens. L’objectif principal reste dans ce cadre d’assurer une meilleure cohérence dans le domaine de la protection des données à caractère privé.
En définitive, avec ses projets de règlements associés au package du GDPR, la Commission semble – enfin – se saisir des problématiques conjointes de protection des données d’une part, et d’économie numérique d’autre part.
Elle se montre dans ce domaine de la libéralisation de l’usage des données en son sein et vis-à-vis de ses citoyens particulièrement inclusive et à l’écoute des parties prenantes en proposant une consultation publique ouverte jusqu’au 26 avril prochain, respectant ainsi l’importance que ce domaine endosse. Il reste toutefois à souligner que les différents documents rendus publics par la Commission restent des projets et qu’ils n’ont en ce sens aucune force contradictoire, à l’exception notable du GDPR.
Emmanuelle Gris
Margaux Etienne
Pour en savoir plus :
Commission européenne – Communiqué de presse : La Commission propose de resserrer les règles en matière de respect de la vie privée pour toutes les communications électroniques et actualise les règles relatives à la protection des données pour les institutions :
http://europa.eu/rapid/press-release_IP-17-16_fr.htm
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications
http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=41241
COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL – Exchanging and Protecting Personal Data in a Globalised World
http://ec.europa.eu/newsroom/document.cfm?doc_id=41157
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC
http://ec.europa.eu/newsroom/document.cfm?doc_id=41158
Définitions officielles et mesures concernant l’effacement, la rectification et la portabilité des données :
http://www.gdpr-expert.eu/article.html?id=17
http://www.gdpr-expert.eu/article.html?id=16
http://www.gdpr-expert.eu/article.html?id=20
https://www.droit-technologie.org/actualites/gdpr-droit-a-portabilite-donnees-analyse-lignes-directrices-g29/