Le Jeudi 24 Mai s’est déroulé au Halles SuperPublic à Paris les 3èmes conversations européennes organisées en partenariat entre EuropaNova et Europartenaires.
L’objectif de ces conversations européennes de porter, au plus près des citoyens, les sujets européens très souvent perçus comme lointain, inatteignable et, a fortiori, impossible à débattre. Par ces échanges, les politiques européennes deviennent plus accessibles et sont discutées au même titre que les sujets de politique nationale.
« La démocratie est une conversation entre citoyens. Nos « conversations européennes » souhaitent répondre à un double objectif : informer et contribuer au débat public sur les dynamiques politiques à l’oeuvre en Europe, et ainsi faire des sujets européens des objets de discussion publique aussi convenus et légitimes que les questions du quotidien. » – Présentation des conversations citoyennes par EuropaNova
Parmi l’équipe d’EuropaNova, une personne était présente à la grande consultation pan-européenne comme coordinatrice de groupe. Cette consultation a réuni 96 citoyens tirés au sort dans 27 pays de l’Union européenne, le Royaume-Uni ne participant pas. Ces citoyens européens, sans qu’ils n’aient nécessairement de connaissances ou d’intérêt en politique européenne ont été réunis par la Commission européenne afin de mettre en place une série de questions formant un questionnaire à destination de l’ensemble des citoyens de l’Union européenne. Cette initiative vise ainsi à donner la parole à chacun pour déterminer quel sera le futur de l’Europe.
Pour répondre à la consultation lancée par la Commission européenne il suffit de se rendre sur : https://ec.europa.eu/commission/consultation-future-europe_fr
La Conversation européenne du 24 Mai portait sur « Réguler l’internet, un enjeu politique européen » en présence de Madame Christine Hennion, députée LREM et rapporteure pour avis sur le projet de loi sur les données personnelles ainsi que Monsieur Diego Naranjo, Senior Policy Advisor à l’EDRi et juriste spécialisé sur les droits humains. La modération était assurée par Monsieur Edouard Gaudiot, membre d’Europa Nova et Political Advisor au Parlement européen.
Grâce à une présentation claire et concise de l’élaboration du Règlement Général sur la Protection des données (RGPD), il a pu être mis à jour que ce texte résulte d’une bataille acharnée entre les lobbying pro-utilisation des données et les organismes de protection des droits humains. Les négociations, lancées en 2012 ont donné lieu à 4 années d’intense lobbying, aussi d’après les propos tenus au sein de la Commission, il s’est agit de la campagne de lobbying la plus intense jamais vue.
Ensuite, les limites du texte ont très rapidement été évoquées. Premièrement, le RGPD n’est pas un texte parfait et ne couvre pas toutes les possibilités ouvertes à l’exploitation des données. Il existe une certaine « flexibilité » à laquelle il doit être porté attention. A ce titre, l’EDRi (European Digital Rights) a publié un rapport (en anglais) sur les flexibilités du RGPD.
Deuxièmement, l’attention a été portée sur le fait qu’une partie de la protection des données européennes doit nécessairement faire l’objet d’une adaptation au niveau législatif national. Par exemple, l’âge légal pour accéder aux réseaux sociaux n’est pas identiques selon les Etats. Si en France il a été décidé qu’il serait fixé à 15 ans, la Belgique s’est accordée sur 13 ans et l’Allemagne sur 16 ans. Ainsi, la France a procédé a plus d’une cinquantaine d’adaptations du texte via l’Assemblée Nationale. Puis le Sénat, qui s’est opposé à certains amendements a également apporté sa pierre à l’édifice. Si le texte d’application du RGPD a bien été voté, il n’est toujours pas publié au Journal officiel et n’est donc, pas encore en application.
La place a ensuite été laissée aux questions et aux débats.
Quelle est la portée du RGPD ? Est-il mondial ?
Il s’agit d’un règlement européen avec une portée extraterritoriale puisqu’il s’applique aux entreprises en dehors de l’Union européenne et traitant des données de résidents de l’Union. Ainsi, dès lors que des services sont proposés directement à des citoyens de l’Union, le responsable de traitement devra nécessairement se conformer au RGPD, peu importe sa nationalité.
De plus, il existe une obligation à l’encontre des entreprises pour la conservation des données. Celles-ci doivent nécessairement être conservées au sein de l’Union, ou, si elles doivent être transférées en dehors de l’Union, alors le G29, regroupement de tous les organismes nationaux de protection des données, devra donner son accord. Celui-ci sera positif dès lors que le niveau de protection des données assuré dans le pays vers lequel les données seront transférées sera équivalent à celui proposé par le RGPD.
Est-ce que le RGPD ne risque pas de desservir les créateurs de plateforme de services européens ?
L’adaptation de l’âge légal selon les Etats renvoie en effet une mauvaise image de l’Union puisque le texte, initialement prévu pour gommer les disparités, ne remplit pas entièrement son rôle. Néanmoins, l’Union propose une protection des données élevées qui va donner une « image de marque » auprès des consommateurs et utilisateurs. Dès lors qu’un service sera assuré par une entreprise européenne, l’utilisateur aura la certitude que ses données seront protégées au plus haut niveau mondial. Ainsi, le manque de flexibilité envisageable et causé par le RGPD est largement compensé par le gage de qualité qu’il offre aux consommateurs.
De plus, au niveau du Conseil de l’Europe, une « Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel », également appelée Convention 108, a été signée. L’article 22 ouvre la signature de ce traité aux Etats non membres du Conseil, permettant ainsi d’étendre le niveau de protection européen.
Quelle est l’interférence du « Cloud Act » américain sur le RGPD ?
Le Cloud Act est un texte s’adressant a priori aux citoyens américains, de plus, l’Europe est en train de rédiger un texte en vue de contrer ce texte américain sorti en Mars 2018. Il permet désormais à l’administration américaine d’obtenir des opérateurs et fournisseurs de services qu’ils transmettent des données stockées sur le territoire d’un État tiers. Toutefois, la question a le mérite de d’exister puisque le Cloud Act prévoit que :
« [a] provider of electronic communication service or remote computing service shall comply with the obligations […] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody or control, regardless of whether such communication, record, or other information is located within or outside of the United States ».
Aussi, il semblerait le Cloud Act s’applique à l’égard de toutes les sociétés qui sont en « possession, custody or control » des informations requises par les autorités américaines, et ce quelle que soit la localisation de ces données à caractère personnel. Les données qui seraient conservées sur le territoire européen pourraient faire l’objet d’une demande de transmission de la part de l’administration américaine.[1]
Par quels moyens peut-on se conformer au RGPD ?
Il est important de savoir que la Commission Nationale Informatique et Libertés (CNIL) publie un grand nombre d’articles et de guides gratuitement à destination des entreprises mais également des individus. En l’occurrence, il est important de se poser quelques questions très simples : Quelles données est-ce que je possède ? Ai-je un consentement de la part des propriétaires de ces données ? Puis-je donner une preuve de ce consentement ? Pourquoi je les possède ? Ai-je un intérêt légitime à les posséder ?
De plus, pour les entreprises, il est important de savoir que l’Agence National de la Sécurité des Systèmes d’Information (ANSSI) accompagne de plus en plus les entreprises face aux cyberattaques.
En conclusion, cette soirée a formidablement rempli son rôle auprès de citoyens qui se sont démontrés particulièrement bien au fait des avancées en termes de protection des données. Les intervenants, clairs et précis, ont satisfait les attentes de l’auditoire. Sur le format de conférence, l’organisation, les intervenants et semblait particulièrement adapté à un auditoire très diversifié composé de professionnels, de politiques ou d’étudiants, de personnes engagées dans la société civile ou non.
Jean-Hugues Migeon
[1] A ce titre, voir l’article de Weil Elodie, « Présentation du Cloud Act Partie 1: l’extraterritorialité de la loi américaine. », Elo veille sur les données, publié le 22 mai 2018, disponible à l’adresse suivante : http://www.eloveillesurlesdp.fr/?p=265#_ftn6