Protection des données : les conflits au sein de la Commission pourraient freiner la réforme

Cybersecurity data protection.JPG

Cet article fait partie de l'édition spéciale Protection des données.

Un débat acharné au sein de la Commission risque de repousser à nouveau la publication de mesures sur la révision des règles de protection des données. Après d’importantes modifications du texte original, seule la commissaire européenne aux affaires intérieures, Cecilia Malmström, y reste opposée.

La révision de la réglementation européenne sur la protection des données est au programme de la Commission depuis des années. La commissaire à la justice, Viviane Reding, a fait de cette réforme de la législation actuelle une priorité de son mandat, mais ses projets de révision ont souvent été repoussés.

Cette nouvelle tentative ne fait pas exception. Dès que Mme Reding a soumis sa proposition législative au débat interne entre les différents départements de l'exécutif européen, plusieurs voix critiques se sont fait entendre.

Six départements ont rendu une opinion négative à la proposition, forçant Mme Reding à remanier rapidement de nombreux  éléments clés inclus dans son texte original.

La commissaire pense rester dans les temps

Malgré la controverse, les proches collaborateurs de Mme Reding assurent que la plupart des questions ont été réglées et confirment que les nouvelles mesures seront présentées le 25 janvier, comme initialement prévu.

Ces mesures comprendront une communication, une réglementation, une directive et un rapport technique.

Actuellement, le seul obstacle à cette proposition semble être l'opposition farouche de Cecilia Malmström, qui préfèrerait reporter cette proposition.

Selon certains fonctionnaires de la Commission, la position de Mme Malmström pourrait être dictée par ses négociations délicates avec les États-Unis sur les transferts de données, un sujet qui a provoqué des débats houleux à Bruxelles.

La directive sur la protection des données inclut les transferts de données. En outre, Mme Reding souhaite étendre l'application des nouvelles règles européennes à toutes les entreprises opérant au sein du marché unique quel que soit leur pays d'origine. Les géants américains de l'Internet désapprouvent largement cette initiative.

Les données personnelles

La proposition initiale présentait une définition des données personnelles jugée trop large par de nombreux membres de la Commission. Les nouvelles règles devraient imposer une application plus stricte du droit de consentement à l'utilisation des données personnelles. Les entreprises devront obtenir le « consentement informé » des utilisateurs à chaque fois que leurs données seront utilisées.

La définition des données personnelles prend clairement une importance nouvelle dans ce contexte. Mme Reding avait initialement inclus certains cookies dans sa définition des données personnelles, conformément à une position largement répandue parmi les autorités chargées de la protection des données.

Les cookies sont en effet capables de suivre les activités des utilisateurs du Net et peuvent donc fournir des informations qui pourraient indirectement s'avérer utiles pour identifier les utilisateurs. Pour l'instant, les négociations sur les cookies se poursuivent, même si ce sujet est partiellement couvert par la directive relative à la vie privée et aux communications électroniques.

Violation des données personnelles

Une autre pierre d'achoppement de cette proposition concerne la disposition visant à imposer une obligation de préavis de 24 heures en cas de violation des données, qui peut se produire lorsque les données personnelles sont volées par des parties non autorisées. Des affaires récentes impliquaient Sony et Apple, deux entreprises qui ont perdu de nombreuses données d'utilisateurs.

La proposition originale a toutefois été atténuée dans la mesure où de nombreux membres de la Commission considéraient qu'elle aurait imposé « un fardeau disproportionné » aux entreprises.

En outre, elle aurait fait preuve d'incohérence avec la directive sur la vie privée qui, en cas de violation des données, prévoit un préavis « sans délai ». Les entreprises concernées par cette règle plus floue auraient pu bénéficier d'un avantage concurrentiel déloyal par rapport aux sociétés soumises à la réglementation plus stricte sur la protection des données.

Le nouveau texte, encore sujet à modification, maintient le préavis de 24 heures, mais ajoute la clause non négligeable « si possible », assouplissant ainsi cette règle.

Dans un commentaire récemment publié sur son blog, la commissaire européenne à la stratégie numérique, Neelie Kroes, a clairement exprimé son point de vue sur la révision des règles concernant la protection des données : « La réglementation doit prendre en compte l'impact sur les entreprises et sur les citoyens. Et nous ne pouvons pas nous permettre d'écarter les entrepreneurs innovants et les idées nouvelles. Si nous nous montrons trop stricts et trop autoritaires, nous ne servirons les intérêts de personne. Face à des règles et des obligations trop restrictives, les contrôleurs de données pourraient simplement décider d'exporter leurs bonnes idées hors de l'Europe ou de tout abandonner », peut-on lire dans son article.

Monique Goyens, la directrice générale de l'organisation européenne de défense des consommateurs, (BEUC) a déclaré : « Le cadre actuel a fait ses preuves, car il est fondé sur des définitions flexibles, il est neutre sur le plan technologique et a établi des principes réglementaires pertinents. Plus important encore, il assurait des garanties solides pour les données personnelles des consommateurs. Nous pensons que ses faiblesses concernent plutôt la faible application de ces règles par les entreprises et la mauvaise mise en œuvre des dispositions. Les règles écrites solides ne servent à rien si elles ne sont pas appliquées ».

« Cette révision représente une chance de faire en sorte que ces règles puissent perdurer, dans la mesure où elles seront appliquées au moins pour les 15 prochaines années. Le succès de cette proposition dépendra de la flexibilité de sa réponse aux technologies en développement et du renforcement des droits des consommateurs », a-t-elle expliqué. 

Selon l'association Business Software Alliance, le nouveau cadre doit s'adapter à l’évolution rapide de l'environnement numérique.

« Pour cela, il doit être neutre sur le plan technologique et se concentrer sur des résultats concerts plutôt que des critères et des procédures contraignants. Le texte actuel risque de freiner la compétitivité de l'économie numérique européenne et de ralentir sérieusement la croissance au sein de nouveaux marchés importants tels que celui du cloud computing. Il présente également des fardeaux inutiles pour les entreprises informatiques européennes (en particulier pour les PME) sans proposer davantage de protection pour les citoyens. La Business Software Alliance pense que cette réglementation devrait trouver un équilibre entre les intérêts de la Communauté européenne en matière de protection des données et de promotion de l'innovation et l'autorisation de libre circulation de l'information », a déclaré le directeur des affaires gouvernementales européennes de l'association, Thomas Boué.

Les règlementations européennes existantes sur la protection des données ont été adoptées en 1995, alors que l'Internet n'en était encore qu'à ses balbutiements. Selon l'UE, en 1993, l'Internet ne contenait que 1 % des informations électroniques. Ce chiffre a grimpé à 97 % en 2007.

Bien que le nombre croissant de produits et de services sur mesure apportent des avantages non négligeables aux consommateurs, ils impliquent une utilisation importante des données personnelles.

Les informations confidentielles peuvent être des renseignements financiers, comme les numéros de carte de crédit ou les détails des comptes bancaires, ou des informations relatives à la santé ou encore sur l'orientation sexuelle et politique, entre autres. Les données de localisation ou les identifiants en ligne comme les cookies sont aussi largement considérés comme des données personnelles.

Les possibilités d'abus sont infinies. La Commission a déjà proposé plusieurs options pour améliorer la protection des données, notamment via la sensibilisation aux données utilisées et aux possibles atteintes à la sécurité des renseignements personnels; l'introduction du droit à l'oubli; des méthodes claires afin de requérir l'autorisation des détenteurs de données pour la gestion de leurs données personnelles.

  • 25 jan. 2012 : Les mesures sur la protection des données pourraient être publiées.

Subscribe to our newsletters

Subscribe
Contribuer