Les CNIL européennes renforcent leur force de frappe commune

Les autorités de surveillance de la protection des données auront bientôt beaucoup plus de pouvoir pour appliquer les lois et pourront infliger aux entreprises des amendes allant jusqu’à 4 % de leur chiffre d’affaires global. [Pexels]

En préparation de la nouvelle loi, les autorités de surveillance nationales de protection des données vont unir leurs efforts pour enquêter, voire sanctionner les entreprises qui rechignent à se plier aux règles.

Les CNIL auront bientôt beaucoup plus de pouvoir grâce à des lois européennes plus strictes. Elles devront également collaborer davantage et devenir un nouveau comité de coordination influent.

Les autorités de surveillance affirment être d’ores et déjà prêtes pour le grand chambardement. Depuis quelques années, les citoyens s’inquiètent davantage de la protection de leurs données, forçant les organismes à se rencontrer plus régulièrement pour uniformiser leur application de la loi sur la protection des données au sein de l’Union.

Isabelle Falque-Perrotin, présidente du groupe de travail « Article 29 » depuis 2014, affirme que cette « pression externe » a poussé les autorités de surveillance à porter une attention particulière aux actions de leurs homologues européen.

« Nous avons modifié notre culture », a-t-elle expliqué, en faisant allusion aux autorités nationales qui auparavant se « concentraient surtout sur leur marché national ».

Selon elle, une série de décisions de justice a poussé le groupe à devenir rapidement une autorité de surveillance unifiée, comme lors de l’affaire Google de 2014 ou lors de l’invalidation de l’accord de partage des données avec les États-Unis, le Safe Harbour, en 2015.

Ces décisions ont placé les autorités de surveillance nationales en première ligne puisqu’elles sont maintenant chargées de traiter les plaintes des consommateurs si les entreprises ne respectent pas les normes.

Bruxelles fait pression sur les États retardataires sur la protection des données

L’Allemagne et l’Autriche sont les seuls pays européens prêts pour une révision majeure des règles européennes sur la vie privée, qui entrera en vigueur en mai.

L’année dernière, les CNIL européennes ont demandé à ce que l’application WhatsApp arrête de partager les données de ses utilisateurs avec Facebook, sa société mère, le temps qu’elles évaluent si l’opération enfreignait la législation européenne.  Elles ont également fait équipe pour enquêter sur les importantes violations de la vie privée commises par Yahoo et Uber.

« Il y a quatre ans, nous n’étions qu’un groupe d’experts », a expliqué Isabelle Falque-Perrotin. « Aujourd’hui, le groupe a de l’influence. »

Actuellement, les autorités de surveillance examinent et sanctionnent les violations des données personnelles au sein de leur pays et partagent ensuite leurs résultats. Elles devront désormais collaborer encore davantage pour des affaires transnationales.

Les entreprises devront s’adresser à une seule autorité nationale en vertu de la nouvelle loi au lieu de se référer à chaque organe de surveillance des pays où elles opèrent. Les autorités devront se consulter avant de décider comment surveiller les entreprises présentes dans plusieurs États membres.

Actuellement, les réglementations et les sanctions varient d’un pays à l’autre. Cette situation devrait changer une fois que la loi européenne entrera en vigueur le 25 mai.

Les autorités de surveillance pourront ensuite infliger aux entreprises de lourdes amendes allant jusqu’à 20 millions d’euros, ou 4 % de leur chiffre d’affaires global en cas de non-respect des normes, qui comprennent l’obligation d’informer les autorités dans les 72 heures en cas de violation de données à caractère personnel.

Sept CNIL européennes s’allient pour enquêter sur le piratage d’Uber

Les autorités de surveillance de la vie privée tentent de confronter Uber au piratage récent des données de millions de consommateurs.

Une nouvelle présidente

Isabelle Falque-Perrotin, qui est également présidente de la commission nationale de l’informatique et des libertés (CNIL), a démissionné. Lors d’une rencontre à Bruxelles, le groupe l’a remplacé par Andrea Jelinek, présidente de l’autorité de surveillance autrichienne.

La nouvelle présidente est également connue en dehors de l’Autriche. Elle a promis de défendre la protection des données des Européens et de les aider à « défendre leurs droits ».

Andrea Jelinek a déclaré que le groupe devrait être « encore plus uni » avant que la nouvelle loi sur la protection de données n’entre en vigueur dans trois mois. « Une équipe de 28 membres, c’est grand, mais ça peut fonctionner », a-t-elle déclaré.

Un groupe encore plus soudé

Le comité de surveillance organisera toutefois un autre vote en mai lorsqu’il deviendra officiellement une autorité européenne de la protection des données encore plus soudée. Des sources proches du comité estime que le vote prévu en mai est symbolique et qu’Andrea Jelinek restera probablement à la tête du groupe.

Si elle reste présidente, Andrea Jelinek aura principalement pour rôle de coordonner les enquêtes des autorités nationales et les sanctions en cas de violations transfrontalière de la nouvelle loi. Les avocats spécialisés en vie privée la considéreront comme la nouvelle responsable européenne en la matière même si la loi ne prévoit pas un bureau pour une autorité de surveillance unique et permanente pour encadrer les dossiers paneuropéens.

« Il y a une telle diversité en Europe que les autorités ne peuvent pas continuer à opérer de cette façon. Le Comité européen de la protection des données va pallier ce problème », a déclaré Eduardo Ustaran, co-directeur du cabinet d’avocats Hogan Lovell spécialisé dans la protection des données. Eduardo Ustaran considère que le comité est « crucial » pour la nouvelle législation.

Les éditeurs européens craignent les nouvelles règles sur les données personnelles

Une trentaine d’éditeurs de presse européens réclament la révision d’un projet de règlement européen qui menace leur modèle économique en ligne.