Depuis plus de deux ans maintenant, on annonce une révolution du cadre réglementaire sur la protection des données. Le temps passant, certains en viennent à douter que cette révolution tant attendue (ou redoutée) ne voie finalement le jour. La refonte de la protection des données dans L’Union est elle un big bang ou un big crunch ? Il est encore difficile de répondre à cette question. Tout au plus, peut-on faire un point d’étape et nous demander : où en sommes-nous dans le processus d’adoption du texte ? Et à quoi peut-on s’attendre ?

Contexte

Le 25 janvier 2012, la Commission Européenne publiait une proposition de « réforme globale des règles en matière de protection des données pour accroître la maîtrise que les utilisateurs ont sur leurs données, et réduire les coûts grevant les entreprises »[1].

Le projet se compose de deux textes :

La première proposition vise à fixer un nouveau cadre général concernant la protection des données à caractère personnel, en substitution de la directive 95/46[4] vieillissante et désormais inadaptée aux évolutions des technologies de l’information (principalement les réseaux sociaux et le Cloud computing). Le second texte vise, quant à lui, à encadrer les traitements mis en œuvre pour la poursuite des infractions pénales. Au regard de la spécificité du sujet, nous nous attarderons uniquement sur la proposition de règlement.

Depuis 2012 que s’est-il passé ?

Suite à la proposition de la Commission, et selon la procédure de codécision à laquelle est soumis le texte, celui-ci doit être adopté par le Parlement et par le Conseil. Une fois chacune des parties prenantes arrivée à un accord, débute alors entre elles, une phase de négociations plus opaque (trilogue). À l’issue de ce trilogue, un texte commun est élaboré, il doit ensuite faire l’objet d’un vote formel par le Parlement puis un accord final par La Commission.

             Discussions au Parlement Européen

Le texte a été âprement débattu devant le parlement européen, l’ampleur des discussions, les pressions des divers lobbies et le nombre d’amendements déposés démontre que l’enjeu de protection des données est désormais devenu un sujet central pour les entreprises. Ainsi ce sont près de 4 000 amendements[5] qui ont été soumis devant les différentes commissions parlementaires saisies du projet de règlement. Jamais un seul et unique texte n’avait suscité autant d’amendements au plan européen.

Malgré l’ampleur de la tache,[6] le Parlement parvenait à adopter le texte le 13 mars 2013, fixant un mandat de négociation à son rapporteur (Jan Albrecht) pour la phase de trilogue.

             Et le Conseil ?

Les négociations au Conseil se poursuivent depuis de longs mois. Depuis l’adoption du règlement par le Parlement, c’est dorénavant devant le Conseil que se cristallisent les discussions et les luttes d’intérêts. Dans la version du texte du 30 juin, préparé par la présidence grecque et synthétisant les points toujours en discussion, on notait encore près de 600 points de désaccord entre les États membres.

Depuis[7], un accord partiel a été trouvé sur le chapitre 4 du projet de règlement, mais le parcours qui mènera à l’adoption d’un texte commun peut être encore long. D’autant que certains points de discussion portent sur la nature même du texte : directive ou règlement.

Dans ces conditions il a été parfois entendu que le projet de refonte du cadre réglementaire sur la protection des données pourrait ne jamais aboutir en raison des réticences et les désaccords entre les états membres…

             Chronique d’une mort annoncée ?

Il est vrai que les discussions autour de ce texte sont particulièrement denses et que les points de désaccord sont parfois profonds. La lenteur du processus d’adoption a pu laisser paraître que le texte se trouve dans l’impasse et qu’il ne verra jamais le jour. Il convient toutefois de rappeler que la précédente directive 95/46, à une autre époque, a connu aussi un processus d’adoption long. En effet, la proposition initiale de la Commission remontait à 1990[8], soit 5 ans de discussions avant d’aboutir au texte final…

Par ailleurs, le contexte dans lequel le nouveau cadre européen est débattu est bien différent de celui des années 90 : les données sont devenues le nouvel « or noir », l’internet s’est développé pour devenir omniprésent, l’enjeu économique est désormais stratégique pour tout un ensemble de sociétés.

             Deus ex Machina

Si le sujet était déjà épineux, il a été encore complexifié par un événement qui s’est déroulé durant l’été 2013 et qui continue de produire ses effets : les révélations sur la surveillance des Etats sur les réseaux et principalement les agissements de la NSA.

Désormais les discussions sur la protection des données à caractère personnel sont un enjeu qui dépasse le cadre européen et viennent teinter les relations internationales notamment dans le cadre des accords en cours de discussion avec les États-Unis (TTIP)[9].

Quelles sont les ambitions portées par le projet de règlement ?

             Quelles ambitions ?

Si le projet de texte provoque autant de réactions, c’est qu’il comporte des dispositions majeures impactant les entreprises commerçant au sein et avec l’Europe. Ainsi le projet de règlement répond à plusieurs objectifs et principalement :

  • Renforcer les droits des citoyens en matière de protection des données ;
  • S’adapter au contexte technologique bien différent de celui qui a vu naître la directive de 1995 ;
  • Changer de paradigme (d’une vision administrative basée sur les formalités à une vision plus anglo-saxonne fondée sur la responsabilité de l’entreprise et le « self assessment») ;
  • Enfin, et le point est non des moindres : uniformiser le cadre réglementaire européen.

Pour atteindre ces différents objectifs, le projet de règlement met en place une série de mesures concrètes. La première est l’instrument utilisé : un règlement plutôt qu’une directive.

             Quels moyens ?

Uniformiser le cadre réglementaire applicable à la protection des données à caractère personnel : un règlement plutôt qu’une directive.

L’adoption d’un règlement, qui est donc un texte d’application directe à la différence des directives laissant aux États membres une latitude dans la transposition au plan national, garantira une meilleure homogénéité de la réglementation qui ne subira plus les aléas des velléités des législateurs locaux. Seule la posture de l’autorité nationale à la protection des données pourrait encore introduire des disparités d’interprétation du texte… mais, là encore, le projet de règlement vient instaurer dans ses chapitres VI et VII des mécanismes d’uniformisation de la doctrine informatique et Libertés : guichet unique, coopération entre les autorités européennes et mise en place d’un Comité Européen de la Protection des Données en charge de coordonner la doctrine en matière de protection des données.

Renforcer les droits des personnes et s’adapter aux évolutions technologiques : information et encadrement des nouveaux usages liés à l’internet.

Le projet de règlement a été rédigé avec en ligne de mire les réseaux sociaux et leur corollaire le profiling sur internet, mais aussi le big data et le Cloud computing, avec la crainte de voir certains opérateurs amasser des quantités gigantesques d’informations sur les populations de l’Union. On voit donc apparaître de nouvelles dispositions propres à ces usages. Il en va ainsi de la portabilité des données[10] permettant à tout un chacun de transférer ses données chez un autre opérateur. D’autres articles viennent encadrer le profilage[11] instaurant un « opt-in » à la réalisation de profils des personnes dans certaines situations, ou encore imposent un nouveau principe dit de « minimisation des données »[12] prévoyant que ne peuvent être traitées que les données strictement nécessaires à la finalité du traitement.

Un accent particulier est aussi porté sur la sécurité des données. Le risque de voir des opérateurs concentrer des informations parfois sensibles (comme des données financières ou touchant à l’intimité de la vie privée)[13] est perçu, sans doute à juste titre, comme une menace importante. Le projet de texte impose donc, comme son prédécesseur, une obligation d’assurer la sécurité des données[14], il y ajoute, par contre, une nouvelle mesure[15] : la notification des incidents de sécurité. L’idée sous-jacente est de contraindre les entreprises à rendre publiques les pertes de données les affectant, qu’elles soient dues à un acte malveillant ou à une simple négligence. La sanction est double : financière[16] et en terme d’image[17].

On notera aussi une affirmation claire du droit à l’oubli[18] même si la directive de 95 connaissait indirectement déjà de principe au travers de ses articles 6, 12 et 14[19].

Un soin particulier est de même porté sur le renforcement de l’information des personnes dont les données sont traitées[20]. Le responsable de traitement devrait désormais informer les personnes, en plus des éléments classiques issus de la directive de 95, notamment sur les motifs lui permettant de considérer que le traitement est légitime ou encore, en cas de collecte indirecte, sur l’origine des données. Par ailleurs, le Parlement en première lecture a encore renforcé cette information par la mise en place de pictogrammes synthétisant les conditions de traitement des données[21].

Un changement de paradigme : vers une vision anglo-saxonne d’ « accountability »

Alors que la protection des données, en France tout du moins, est souvent associée à la réalisation de formalités préalables (déclaration, demande d’autorisation) et le contrôle a priori de la CNIL[22], le projet de règlement déplace le contrôle de conformité du régulateur (CNIL) vers l’entreprise. Les formalités préalables deviennent l’exception. En contrepartie, il appartient aux entreprises de s’assurer que les traitements qu’elles mettent en œuvre sont respectueux de la protection des données à caractère personnel.

Les responsables de traitement doivent en conséquence :

  • Prendre en compte et être en mesure de démontrer que le traitement est respectueux des obligations concernant la protection des données.[23]
  • Dans tout nouveau projet : s’assurer que la protection des données est envisagée dès l’origine (privacy by design).[24]
  • Établir et conserver une documentation concernant les traitements mis en œuvre.[25]
  • Réaliser des études d’impact afin de déterminer les conséquences des traitements qu’elles souhaitent mettre en œuvre sur la vie privée des individus.[26]

Les formalités à réaliser auprès de la CNIL seraient réduites à portion congrue, celles-ci ne concerneraient principalement que le cas dans lequel l’analyse d’impact laisse apparaître un risque sur la vie privée des personnes. Les missions du régulateur consisteront donc à vérifier la bonne mise en œuvre et le respect des obligations en terme de protection des données (notamment au travers de la documentation établie par l’entreprise).

Cela devrait impliquer pour les entreprises la nécessité de repenser profondément la conduite de leurs projets en y intégrant dès l’origine les problématiques de respect des données personnelles et en formalisant l’ensemble de ces processus.

La tâche n’est pas des moindres, mais il reste encore quelques mois ou années avant que le projet de règlement n’entre en vigueur. En attendant, il convient déjà de s’y préparer !

[1]           Commission Européenne – IP/12/46   25/01/2012

[2]           COM(2012) 11 final 2012/0011 (COD)

[3]           COM/2012/010 final – 2012/0010 (COD)

[4]           Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[5]           Questions – Réponses sur la réforme du régime de protection des données de l’UE : « Un record de 3 133 amendements à la proposition de règlement ont été déposés en commission des libertés civiles. Avec les amendements déposés dans les avis en commission de l’industrie (417), en commission du marché intérieur (226), en commission de l’emploi (27) et en commission des affaires juridiques (196), le nombre total d’amendements s’élève à 3999 ».

[6]           Les amendements déposés devant la commission LIBE, saisies au fond du projet de règlement représentaient ainsi plus de 1 500 pages.

[7]           Version du texte devant le Conseil du 3 octobre 2014. Ref : 13772/14 DATAPROTECT 129 JAI 730 MI 726 DRS 120 DAPIX 137 FREMP 164 COMIX 503 CODEC 1926

[8]           COM (90) 314 Final -SYN 287 and 288, 13 septembre 1990.

[9]           Le Transatlantic Trade and Investment Partnership – TTIP – en cours de discussion contiendrait (les négociations étant secrètes) des dispositions sur la protection des données voulues par les Etats-Unis. Il s’agirait d’une interopérabilité entre les cadres légaux en la matière et une interdiction d’adopter des textes imposant une localisation des données sur un territoire (comme Russie ou le Vietnam ont pu le faire).

[10]          Article 18.

[11]          Article 20.

[12]          Article 5c. le principe de minimisation ne figure toutefois pas dans la version du Conseil en date du 30 juin 2014 où il lui a été substitué le concept plus classique de « données non excessives ».

[13]          Les exemples récents sont nombreux. On peut citer sans exhaustivité les incidents concernant notamment Ebay, JP Morgan, Apple mais aussi Orange (http://www.informationisbeautiful.net/)

[14]          Article 30.

[15]          Il ne s’agit pas d’une obligation créée exnihilo, mais de la généralisation d ‘une obligation déjà introduite pour les opérateurs de télécommunications par les directives du Paquet Télécoms (directive 2002-58 dite Eprivacy modifiée par la directive 2009-136 principalement). Voir notamment à ce sujet « Obligation de notification des failles de sécurité : quand l’Union Européenne voit double… » de F. Coupez, Juriscom.net, 30 janvier 2010.

[16]          Le coût de la notification individuelle est évalué selon une étude du Ponemon Institute à 183$ par donnée perdue en France. Ponemon Institute, Cost of Data Breach study, 2014.

[17]          En rendant public les incidents, ceux-ci sont désormais relayés par la presse.

[18]          Article 17.

[19]          Pour une application voir : CJUE – C-131/12 Google Spain SL, Google Inc. / Agencia Española de Protección de Datos, Mario Costeja González, 13 mai 2014.

[20]          Article 14.

[21]          Article 13a. Il convient de noter que cette obligation d’information supplémentaire ne figure pas, pour l’heure, dans la version du texte discuté au Conseil.

[22]          Même si depuis quelques années la CNIL délaisse les formalités au profit de plus de contrôles effectués a posteriori.

[23]          Article 22.

[24]          Article 23.

[25]          Article 28.

[26]          Article 33.

2 thoughts on “Réforme de la protection des données : big bang ou big crunch ?

  • 10 novembre 2014 at 17 h 14 min
    Permalink

    Je voudrais ajouter une réflexion à cet article, non pas sur les règles de fond, déjà traitées, mais sur la gouvernance, c’est à dire, pour parler clair, la répartition des pouvoirs. Les droits et obligations issus du Règlement vont se situer dans une certaine continuité. Par contre la façon d’orchestrer et de mettre à jour le cadre légal devrait connaître des changements importants. Tant mieux.

    Comment se présentent les choses aujourd’hui ?

    Parmi les interlocuteurs, on notera:
    – les autorités nationales des Etats Membres comme la CNIL en France, qui agissent en direction du public (sensibilisation), délivrent des autorisations, prononcent des avertissements, des sanctions, et donnent des recommandations sur l’application des règles ;
    – les parlements nationaux, qui traduisent et implémentent les directives, dont celle de 1995, dans les droits nationaux ;
    (Note : ces deux premières catégories aboutissent à un total de 28*2 = 56 parties prenantes à l’échelle européenne)
    – les tribunaux nationaux, avec lesquels il faut compter, car ils n’hésitent pas à contredire les autorités ci-dessus mentionnées de protection des données ;
    – le groupe de l’article 29, qui, de manière assez proactive, donne des directions sur les sujets au fur et à mesure qu’ils se présentent ;
    – Le contrôleur Européen, dont les positions sont très écoutées ;
    – la Cour de Luxembourg, jusque là assez discrète dans ce paysage déjà fort occupé, mais qui vient de rendre deux arrêts majeurs (conservation des données de trafic et droit au déréférencement) ;
    – La Commission et les instances européennes en charge de la mise au point des Directives et des Règlements (Parlement, Conseil).

    Toutes ces autorités ont deux points en commun : elle s’occupent de la protection des données personnelles, et elles sont indépendantes.

    Indépendance:
    « Condition d’un État, d’un pouvoir qui ne relève pas d’un autre ».
    http://littre.reverso.net/dictionnaire-francais/definition/indépendance/40461

    Indépendantes ! Mot magique. Le problème avec cette foule d’autorités, donc, « indépendantes », et toutes en charge du même domaine, c’est qu’au final il devient de plus en plus difficile de trouver le bon chemin. Quand plusieurs entités s’expriment et agissent de manière indépendante sur le même terrain, le risque de cacophonie n’est pas loin, puisque chacune peut venir défaire ce que l’autre a fait. En toute logique, il ne devrait y avoir qu’une seule autorité « indépendante » sur un sujet donné.

    Pour résoudre ce type de problème, il existe quelques vieilles recettes qui traînent dans les livres d’histoire. Le moment semble opportun de reprendre nos vieux grimoires. Car proclamer l’indépendance de tous les interlocuteurs appelés à s’intéresser à un domaine particulier n’est peut-être pas la meilleure approche. L’accumulation de bonnes intentions peut aboutir à l’effet inverse de l’effet recherché. Des indépendances (au pluriel) peut sortir l’incohérence : on n’en est pas là, mais le risque est réel, comme en témoigne la condamnation globale et sans appel, en 2014, d’une directive adoptée en 2006 (Directive 2006/24/CE sur la conservation des données).
    La Cour de justice déclare la directive sur la conservation des données invalide:
    http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054fr.pdf

    Nos ancêtres mettaient en avant l’idée de « séparation des pouvoirs ».
    Déclaration des droits de 1789
    Art. 16. Toute Société dans laquelle la garantie des Droits n’est pas assurée, ni la séparation des Pouvoirs déterminée, n’a point de Constitution.
    http://www.legifrance.gouv.fr/Droit-francais/Constitution/Declaration-des-Droits-de-l-Homme-et-du-Citoyen-de-1789

    La séparation des pouvoirs distingue (un rappel de notions fondamentales ne peut pas faire de mal)
    le pouvoir législatif chargé de faire les lois
    le pouvoir exécutif en charge de leur application
    le pouvoir judiciaire qui tranche les litiges.

    Il convient évidemment de se rappeler le Livre XI, Chapitre VI de l’Esprit des Lois, de Montesquieu:
    « Lorsque, dans la même personne ou dans le même corps de magistrature, la puissance législative est réunie à la puissance exécutrice, il n’y a point de liberté; parce qu’on peut craindre que le même monarque ou le même sénat ne fasse des lois tyranniques pour les exécuter tyranniquement.
    Il n’y a point encore de liberté si la puissance de juger n’est pas séparée de la puissance législative et de l’exécutrice ».
    http://fr.wikisource.org/wiki/Page:Montesquieu_-_Esprit_des_Lois_-_Tome_1.djvu/318

    Des indépendances fièrement empilées les unes sur les autres à la séparation : le chemin de la sagesse ?

    Emmanuel Cauvin
    10 nov 14
    Note : cet article exprime des opinions personnelles qui n’engagent que l’auteur.

    Reply

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *