Le 30 janvier se tenait une conférence débat avec Frank Engel, Député européen, Ammar Alkassar, expert en cryptographie et Gérard Lommel, Président de la Commission nationale pour la protection des données (CNPD) sur la nouvelle législation européenne de la protection des données. Prévue au vote pour avril, pour démarrer en 2016, les débats pourraient se poursuivre encore car les contestations persistent.

La législation européenne sur la protection des données date de 1995, et a donc fortement besoin d’être révisée. Depuis 2012, la Commission européenne travaille sur une nouvelle législation axée sur trois principaux points :

• unifier et simplifier les règles des différents pays membre en matière de protection et utilisation des données,
• avoir un guichet unique comme autorité identifiée pour coopérer avec les autres autorités compétentes et pour superviser les traitements des données,
• autoriser le droit à l’oubli.

Un compromis négocié avec le Parlement

L’enjeu au Luxembourg est de concilier la protection des données avec la compétitivité numérique transfrontalière. Désormais, il sera impossible d’avoir un accord entre le Conseil et le Parlement avant les élections européennes. Pour Frank Engel, « la présidence lituanienne a négligé le dossier alors qu’au Parlement européen, le rapporteur, Jan Philipp Albrecht, a réussi à gérer la masse de 4 500 amendements priorité. »

Le Luxembourg avait voté des compromis le 21 octobre 2013 :

• un droit à l’effacement, à l’information et à la rectification au lieu du droit à l’oubli,
• des transferts de données à destination de pays tiers seulement s’il y a un cadre réglementaire ancré dans le droit européen,
• l’introduction du principe “privacy by design/privacy by default”

Protéger les données

L’objectif de cette législation est de garantir la sécurité des données, de fournir aux entreprises un cadre clair pour le traitement de celles-ci et des recours simplifiés en justice en cas de non respect. Le Luxembourg avait demandé des sanctions lourdes, l’amende pourrait aller jusqu’à 2 % du chiffre d’affaires mondial de la société, même si elle n’a pas de filiale en Europe.

L’utilisation et l’expansion d’internet aujourd’hui fait de cette loi un réel défi avec des enjeux techniques et démocratiques. Gérard Lommel a plaidé pour une modernisation de la législation. « Il ne faut pas se résigner, il faut rétablir la confiance…en ajoutant, il faut une législation avec une règle pour tous, appliquée de manière uniforme. Les autorités qui doivent imposer ces règles devront être à l’écoute des entreprises, être prévisibles, mais pas complaisantes. »

Voté en avril….ou pas

Si le vote sur le règlement européen pourrait intervenir dès avril 2014, le projet ne fait toujours pas l’unanimité. Comme par exemple le guichet unique qui veut dire un nombre d’autorités limité et si la Commission offre la possibilité aux autorités de se saisir entre elles, les membres crient à l’éclatement. Pour certains, pouvoir contester les décisions des autres est impensable, cela détruirait toute la légitimité de l’UE, fragiliserait l’unité du G29, isolerait les autres autorités de protection.

Autre exemple la question du consentement qui doit devenir explicite et non implicite. Pour certains perdre l’utilisateur dans des clics d’accord est démesuré mais le constat de l’affichage sur les sites de l’utilisation des données est sans appel : sur 2180 sites internet testés ou applications, plus de 20% ne fournissent aucune information à leurs visiteurs quant à la politique de protection des données suivie, alors même que ces sites ou applications collectent des données personnelles. Ce chiffre atteint même les 50% pour les seules applications mobiles (operation “Internet Sweep Day” menée par la CNIL et 19 de ses homologues internationaux en mai 2013).

Les ficheurs ne ficheront plus

Le projet obligerait les ficheurs type Google, Facebook, et autres géants à demander leur accord aux fichés. Cependant, comme il s’agit de ficheurs américains, leurs opinions sont totalement à l’opposée du projet. L’exploitation de ces données personnelles, reconnues comme le “pétrole du numérique”, est en effet à la base du business model de l’économie numérique à l’américaine.

La règle du consentement explicite est simple : avant de s’emparer des données d’un consommateur, il faudra lui en demander la permission.

La confiance entre les Etats semble s’affaiblir, « avec l’affaire de la NSA, le problème est devenu plus aigu. Si les USA jettent les principes de l’Etat de droit par-dessus bord, a expliqué Frank Engel, nous ne pourrons rien y changer, Mais cela aura des effets sur le TTIP (accord commercial UE- USA en cours de négociations, nd.l.r.), et nous devons nous interroger sur le sens de l’amitié et de la coopération avec eux, s’ils nous surveillent comme ils surveillent la Corée du Nord. »

Données européennes à 315 milliards de dollards

Dans ce match entre législation européenne et géants américains, le glas sonne encore contre le business model américain qui repose entièrement sur la collecte et l’exploitation des données de leurs utilisateurs (pour établir des profils individualisés et envoyer des publicités ciblées). Selon une étude américaine, les données personnelles des Européens représentaient ainsi en 2012, un trésor de 315 milliards de dollars.