Nos anciens articles (octobre 2014) Réforme de la protection des données : big bang ou big crunch ?

Depuis plus de deux ans maintenant, on annonce une révolution du cadre réglementaire sur la protection des données. Le temps passant, certains en viennent à douter que cette révolution tant attendue (ou redoutée) ne voie finalement le jour. La refonte de la protection des données dans L’Union est elle un big bang ou un big crunch ? Il est encore difficile de répondre à cette question. Tout au plus, peut-on faire un point d’étape et nous demander : où en sommes-nous dans le processus d’adoption du texte ? Et à quoi peut-on s’attendre ?

Contexte

Le 25 janvier 2012, la Commission Européenne publiait une proposition de « réforme globale des règles en matière de protection des données pour accroître la maîtrise que les utilisateurs ont sur leurs données, et réduire les coûts grevant les entreprises »[1].

Le projet se compose de deux textes :

• Une proposition de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)[2].
• Une proposition de directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données[3].

La première proposition vise à fixer un nouveau cadre général concernant la protection des données à caractère personnel, en substitution de la directive 95/46[4] vieillissante et désormais inadaptée aux évolutions des technologies de l’information (principalement les réseaux sociaux et le Cloud computing). Le second texte vise, quant à lui, à encadrer les traitements mis en œuvre pour la poursuite des infractions pénales. Au regard de la spécificité du sujet, nous nous attarderons uniquement sur la proposition de règlement.

Depuis 2012 que s’est-il passé ?

Suite à la proposition de la Commission, et selon la procédure de codécision à laquelle est soumis le texte, celui-ci doit être adopté par le Parlement et par le Conseil. Une fois chacune des parties prenantes arrivée à un accord, débute alors entre elles, une phase de négociations plus opaque (trilogue). À l’issue de ce trilogue, un texte commun est élaboré, il doit ensuite faire l’objet d’un vote formel par le Parlement puis un accord final par La Commission.

             Discussions au Parlement Européen

Le texte a été âprement débattu devant le parlement européen, l’ampleur des discussions, les pressions des divers lobbies et le nombre d’amendements déposés démontre que l’enjeu de protection des données est désormais devenu un sujet central pour les entreprises. Ainsi ce sont près de 4 000 amendements[5] qui ont été soumis devant les différentes commissions parlementaires saisies du projet de règlement. Jamais un seul et unique texte n’avait suscité autant d’amendements au plan européen.

Malgré l’ampleur de la tache,[6] le Parlement parvenait à adopter le texte le 13 mars 2013, fixant un mandat de négociation à son rapporteur (Jan Albrecht) pour la phase de trilogue.

             Et le Conseil ?

Les négociations au Conseil se poursuivent depuis de longs mois. Depuis l’adoption du règlement par le Parlement, c’est dorénavant devant le Conseil que se cristallisent les discussions et les luttes d’intérêts. Dans la version du texte du 30 juin, préparé par la présidence grecque et synthétisant les points toujours en discussion, on notait encore près de 600 points de désaccord entre les États membres.

Depuis[7], un accord partiel a été trouvé sur le chapitre 4 du projet de règlement, mais le parcours qui mènera à l’adoption d’un texte commun peut être encore long. D’autant que certains points de discussion portent sur la nature même du texte : directive ou règlement.

Dans ces conditions il a été parfois entendu que le projet de refonte du cadre réglementaire sur la protection des données pourrait ne jamais aboutir en raison des réticences et les désaccords entre les états membres…

             Chronique d’une mort annoncée ?

Il est vrai que les discussions autour de ce texte sont particulièrement denses et que les points de désaccord sont parfois profonds. La lenteur du processus d’adoption a pu laisser paraître que le texte se trouve dans l’impasse et qu’il ne verra jamais le jour. Il convient toutefois de rappeler que la précédente directive 95/46, à une autre époque, a connu aussi un processus d’adoption long. En effet, la proposition initiale de la Commission remontait à 1990[8], soit 5 ans de discussions avant d’aboutir au texte final…

Par ailleurs, le contexte dans lequel le nouveau cadre européen est débattu est bien différent de celui des années 90 : les données sont devenues le nouvel « or noir », l’internet s’est développé pour devenir omniprésent, l’enjeu économique est désormais stratégique pour tout un ensemble de sociétés.

             Deus ex Machina

Si le sujet était déjà épineux, il a été encore complexifié par un événement qui s’est déroulé durant l’été 2013 et qui continue de produire ses effets : les révélations sur la surveillance des Etats sur les réseaux et principalement les agissements de la NSA.

Désormais les discussions sur la protection des données à caractère personnel sont un enjeu qui dépasse le cadre européen et viennent teinter les relations internationales notamment dans le cadre des accords en cours de discussion avec les États-Unis (TTIP)[9].

Quelles sont les ambitions portées par le projet de règlement ?

             Quelles ambitions ?

Si le projet de texte provoque autant de réactions, c’est qu’il comporte des dispositions majeures impactant les entreprises commerçant au sein et avec l’Europe. Ainsi le projet de règlement répond à plusieurs objectifs et principalement :

• Renforcer les droits des citoyens en matière de protection des données ;
• S’adapter au contexte technologique bien différent de celui qui a vu naître la directive de 1995 ;
• Changer de paradigme (d’une vision administrative basée sur les formalités à une vision plus anglo-saxonne fondée sur la responsabilité de l’entreprise et le « self assessment») ;
• Enfin, et le point est non des moindres : uniformiser le cadre réglementaire européen.

Pour atteindre ces différents objectifs, le projet de règlement met en place une série de mesures concrètes. La première est l’instrument utilisé : un règlement plutôt qu’une directive.

             Quels moyens ?

Uniformiser le cadre réglementaire applicable à la protection des données à caractère personnel : un règlement plutôt qu’une directive.

L’adoption d’un règlement, qui est donc un texte d’application directe à la différence des directives laissant aux États membres une latitude dans la transposition au plan national, garantira une meilleure homogénéité de la réglementation qui ne subira plus les aléas des velléités des législateurs locaux. Seule la posture de l’autorité nationale à la protection des données pourrait encore introduire des disparités d’interprétation du texte… mais, là encore, le projet de règlement vient instaurer dans ses chapitres VI et VII des mécanismes d’uniformisation de la doctrine informatique et Libertés : guichet unique, coopération entre les autorités européennes et mise en place d’un Comité Européen de la Protection des Données en charge de coordonner la doctrine en matière de protection des données.

Renforcer les droits des personnes et s’adapter aux évolutions technologiques : information et encadrement des nouveaux usages liés à l’internet.

Le projet de règlement a été rédigé avec en ligne de mire les réseaux sociaux et leur corollaire le profiling sur internet, mais aussi le big data et le Cloud computing, avec la crainte de voir certains opérateurs amasser des quantités gigantesques d’informations sur les populations de l’Union. On voit donc apparaître de nouvelles dispositions propres à ces usages. Il en va ainsi de la portabilité des données[10] permettant à tout un chacun de transférer ses données chez un autre opérateur. D’autres articles viennent encadrer le profilage[11] instaurant un « opt-in » à la réalisation de profils des personnes dans certaines situations, ou encore imposent un nouveau principe dit de « minimisation des données »[12] prévoyant que ne peuvent être traitées que les données strictement nécessaires à la finalité du traitement.

Un accent particulier est aussi porté sur la sécurité des données. Le risque de voir des opérateurs concentrer des informations parfois sensibles (comme des données financières ou touchant à l’intimité de la vie privée)[13] est perçu, sans doute à juste titre, comme une menace importante. Le projet de texte impose donc, comme son prédécesseur, une obligation d’assurer la sécurité des données[14], il y ajoute, par contre, une nouvelle mesure[15] : la notification des incidents de sécurité. L’idée sous-jacente est de contraindre les entreprises à rendre publiques les pertes de données les affectant, qu’elles soient dues à un acte malveillant ou à une simple négligence. La sanction est double : financière[16] et en terme d’image[17].

On notera aussi une affirmation claire du droit à l’oubli[18] même si la directive de 95 connaissait indirectement déjà de principe au travers de ses articles 6, 12 et 14[19].

Un soin particulier est de même porté sur le renforcement de l’information des personnes dont les données sont traitées[20]. Le responsable de traitement devrait désormais informer les personnes, en plus des éléments classiques issus de la directive de 95, notamment sur les motifs lui permettant de considérer que le traitement est légitime ou encore, en cas de collecte indirecte, sur l’origine des données. Par ailleurs, le Parlement en première lecture a encore renforcé cette information par la mise en place de pictogrammes synthétisant les conditions de traitement des données[21].

Un changement de paradigme : vers une vision anglo-saxonne d’ « accountability »

Alors que la protection des données, en France tout du moins, est souvent associée à la réalisation de formalités préalables (déclaration, demande d’autorisation) et le contrôle a priori de la CNIL[22], le projet de règlement déplace le contrôle de conformité du régulateur (CNIL) vers l’entreprise. Les formalités préalables deviennent l’exception. En contrepartie, il appartient aux entreprises de s’assurer que les traitements qu’elles mettent en œuvre sont respectueux de la protection des données à caractère personnel.

Les responsables de traitement doivent en conséquence :

• Prendre en compte et être en mesure de démontrer que le traitement est respectueux des obligations concernant la protection des données.[23]
• Dans tout nouveau projet : s’assurer que la protection des données est envisagée dès l’origine (privacy by design).[24]
• Établir et conserver une documentation concernant les traitements mis en œuvre.[25]
• Réaliser des études d’impact afin de déterminer les conséquences des traitements qu’elles souhaitent mettre en œuvre sur la vie privée des individus.[26]

Les formalités à réaliser auprès de la CNIL seraient réduites à portion congrue, celles-ci ne concerneraient principalement que le cas dans lequel l’analyse d’impact laisse apparaître un risque sur la vie privée des personnes. Les missions du régulateur consisteront donc à vérifier la bonne mise en œuvre et le respect des obligations en terme de protection des données (notamment au travers de la documentation établie par l’entreprise).

Cela devrait impliquer pour les entreprises la nécessité de repenser profondément la conduite de leurs projets en y intégrant dès l’origine les problématiques de respect des données personnelles et en formalisant l’ensemble de ces processus.

La tâche n’est pas des moindres, mais il reste encore quelques mois ou années avant que le projet de règlement n’entre en vigueur. En attendant, il convient déjà de s’y préparer !

[1]           Commission Européenne – IP/12/46   25/01/2012

[2]           COM(2012) 11 final 2012/0011 (COD)

[3]           COM/2012/010 final – 2012/0010 (COD)

[4]           Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[5]           Questions – Réponses sur la réforme du régime de protection des données de l’UE : « Un record de 3 133 amendements à la proposition de règlement ont été déposés en commission des libertés civiles. Avec les amendements déposés dans les avis en commission de l’industrie (417), en commission du marché intérieur (226), en commission de l’emploi (27) et en commission des affaires juridiques (196), le nombre total d’amendements s’élève à 3999 ».

[6]           Les amendements déposés devant la commission LIBE, saisies au fond du projet de règlement représentaient ainsi plus de 1 500 pages.

[7]           Version du texte devant le Conseil du 3 octobre 2014. Ref : 13772/14 DATAPROTECT 129 JAI 730 MI 726 DRS 120 DAPIX 137 FREMP 164 COMIX 503 CODEC 1926

[8]           COM (90) 314 Final -SYN 287 and 288, 13 septembre 1990.

[9]           Le Transatlantic Trade and Investment Partnership – TTIP – en cours de discussion contiendrait (les négociations étant secrètes) des dispositions sur la protection des données voulues par les Etats-Unis. Il s’agirait d’une interopérabilité entre les cadres légaux en la matière et une interdiction d’adopter des textes imposant une localisation des données sur un territoire (comme Russie ou le Vietnam ont pu le faire).

[10]          Article 18.

[11]          Article 20.

[12]          Article 5c. le principe de minimisation ne figure toutefois pas dans la version du Conseil en date du 30 juin 2014 où il lui a été substitué le concept plus classique de « données non excessives ».

[13]          Les exemples récents sont nombreux. On peut citer sans exhaustivité les incidents concernant notamment Ebay, JP Morgan, Apple mais aussi Orange (http://www.informationisbeautiful.net/)

[14]          Article 30.

[15]          Il ne s’agit pas d’une obligation créée exnihilo, mais de la généralisation d ‘une obligation déjà introduite pour les opérateurs de télécommunications par les directives du Paquet Télécoms (directive 2002-58 dite Eprivacy modifiée par la directive 2009-136 principalement). Voir notamment à ce sujet « Obligation de notification des failles de sécurité : quand l’Union Européenne voit double… » de F. Coupez, Juriscom.net, 30 janvier 2010.

[16]          Le coût de la notification individuelle est évalué selon une étude du Ponemon Institute à 183$ par donnée perdue en France. Ponemon Institute, Cost of Data Breach study, 2014.

[17]          En rendant public les incidents, ceux-ci sont désormais relayés par la presse.

[18]          Article 17.

[19]          Pour une application voir : CJUE – C-131/12 Google Spain SL, Google Inc. / Agencia Española de Protección de Datos, Mario Costeja González, 13 mai 2014.

[20]          Article 14.

[21]          Article 13a. Il convient de noter que cette obligation d’information supplémentaire ne figure pas, pour l’heure, dans la version du texte discuté au Conseil.

[22]          Même si depuis quelques années la CNIL délaisse les formalités au profit de plus de contrôles effectués a posteriori.

[23]          Article 22.

[24]          Article 23.

[25]          Article 28.

[26]          Article 33.