Depuis les révélations d’Edward Snowden concernant la captation des métadonnées par la NSA, la protection des données personnelles est devenue un sujet de société. Une crise de confiance s’est créée depuis vis-à-vis des Etats, mais aussi d’entreprises privées telles que Facebook ou Google. C’est dans ce contexte que les différents régulateurs européens en matière d’informatique et de libertés (CNIL) ont adopté le 25 novembre 2014 la « déclaration commune des autorités européennes de protection des données ». Cette déclaration officialisée le 8 décembre pose un principe fort : « la protection des données à caractère personnel est un droit fondamental »

G29

C’est à l’occasion du « European Data Governance » dans le cadre du G29 que les différentes CNIL de l’Union Européenne se sont réunies pour officialiser cette déclaration sur la protection des données à caractère personnel.

Par cette déclaration, les autorités européennes de régulation affirment que la protection des données à caractère personnel est « un droit fondamental ». Elles soulignent également le fait qu’on ne peut pas les traiter comme un seul « objet de commerce, un actif économique ou un bien de consommation ». Cependant, dès le 2ème point de la déclaration, on reconnaît que ce droit peut être nuancé par d’autres droits fondamentaux et notamment l’impératif de sécurité, dont les Etats sont garants.

Les CNIL demandent une application stricte de ces nouvelles règles en matière de protection des données  dans l’Union Européenne. Celles-ci doivent être considérées comme « des principes internationaux impératifs en droit international public et privé », ne pouvant pas être infléchis par des accords bilatéraux ou internationaux. Cette spécification fait référence au traité de libre-échange transatlantique (TTIP) qui prévoit la création en 2015, d’une zone de libre-échange entre les Etats-Unis et l’Union Européenne.

Cette déclaration va aussi poser des principes concernant la surveillance à des fins de sécurité. Aux points 6 et 7 , les régulateurs européens commencent par affirmer que la surveillance secrète, massive et indiscriminée n’est pas conforme aux traités européens et inacceptable sur le plan éthique. Les CNIL européennes intègrent les principes de proportionnalité et de nécessité dans l’accès aux données personnelles dans un impératif de sécurité. Il y est écrit que « l’accès à des données à caractère personnel aux fins de sécurité n’est pas acceptable dans une société démocratique dès lors qu’il est massif et sans condition. »

Enfin, cette déclaration essaie de favoriser le stockage physique des données sur le territoire du l’Union Européenne, pour en permettre le contrôle par une autorité européenne indépendante. Ce contrôle devra respecter les exigences de protection des données. C’est un point très important car ces bases de données sont de véritables mines d’or. Il faut donc commencer à les protéger. Elles représentent « le pétrole de demain » selon Thierry Breton, PDG de Atos, l’une des dix plus grandes entreprises de services du Numérique au monde.

Frédéric GEORGES

A propos de Frédéric GEORGES