Faisant suite à des propositions entamées dès janvier 2012 et après de multiples négociations depuis juin 2015, la Commission européenne, le Parlement européen et le Conseil de l’Union européenne sont parvenus à un accord en trilogue le 18 décembre dernier sur la protection des données personnelles.
Après plusieurs mois de renvoi entre ces différentes institutions de l’Union européenne, l’accord en trilogue dégagé en décembre dernier poursuit plusieurs objectifs qui concernent à la fois les personnes physiques de droit privé, les entreprises mais aussi certaines autorités publiques. Ainsi, le vice-président de la Commission européenne, Andrus Ansip, met en avant le besoin de confiance et de normes collectives et similaires au sein de l’Union européenne.
Rapporteur au Parlement européen sur le sujet et député vert allemand, Jan Philipp Albrecht a justifié l’harmonisation européenne : « les données sont transfrontalières par nature ». Il argue qu’il faut avoir « des règles communes et un système juridique unifié afin de créer des règles de jeu équitable pour toutes les entreprises et gagner la confiance du consommateur dans le marché unique européen ».
Pour ce faire, l’accord comporte deux volets : un règlement général sur la protection des données personnelles et une directive qui touche davantage la protection des données personnelles utilisées à la police et par la justice pénale des pays membres de l’Union européenne.
Le règlement général sur la protection des données personnelles
Rappelons-le, le règlement européen est d’effet direct en droit interne des Etats membres de l’Union européenne. Ainsi, le règlement général sur la protection des données personnelles a vocation à s’appliquer de manière similaire et immédiatement dans tous ces Etats membres.
Dans un premier temps, les institutions européennes souhaitent mettre en place un droit unique européen sur la protection des données personnelles. En effet, le règlement est le même dans tous les Etats et tous doivent l’appliquer de la même manière. Il en ressortira une règlementation identique dans l’Union européenne, sous la surveillance d’une autorité de contrôle unique.
Contrôle et compréhension sont deux aspects importants du règlement. Les utilisateurs doivent savoir comment sont gérées leurs données, quand elles sont collectées et surtout comment ils peuvent eux-mêmes intervenir sur ces collectes. Apparaît aussi un droit à ne pas être « profilé », c’est-à-dire que certaines informations ne peuvent pas être redistribuées n’importe comment ou à n’importe quel prestataire sans l’accord de la personne concernée.
De plus, le paquet européen reprend l’idée du droit à l’oubli, qui a fait couler de l’encre l’année passée. Pour rappel, le droit à l’oubli, notamment dans le conflit entre la CNIL et Google, relevait plus d’un droit au déférencement qu’une suppression réelle des données. Les informations problématiques existent toujours sur la toile mais l’affichage dans le moteur de recherche disparait. A l’inverse, le paquet européen souhaite consacrer un réel droit à l’oubli effectif : les données seraient bel et bien effacées, et pas seulement déférencées ou archivées. Pour autant, rien n’empêche des utilisateurs de reproduire le contenu litigieux avant son effacement. La suppression des données sur un site n’empêche donc pas nécessairement leur réapparition sur un autre.
Dans un second temps, le règlement traite aussi de la protection des données avec les entreprises. Par exemple, ces dernières seront beaucoup plus soumises aux autorités de contrôle dans ce domaine. Les entreprises doivent informer les autorités dès qu’elles constatent un accès non autorisé aux données personnelles qu’elles collectent. Pour la France, la CNIL devra ensuite décider si la violation est d’une importance telle que l’entreprise doit prévenir ses usagers de l’intrusion. Le but est non seulement de protéger les données personnelles collectées mais aussi d’empêcher que les entreprises ne cachent qu’elles aient été hackées.
Dans le contexte de l’invalidation du « Safe Harbor » par la Cour de Justice de l’Union européenne le 6 octobre 2015, Claude Moreas, député démocrate socialiste britannique, avait déclaré « les entreprises concernées [par la collecte et la transmission de données personnelles] vont devoir prendre de nouvelles dispositions pour mieux protéger nos données ». Il ajoute par ailleurs « il est tout aussi important d’avoir une structure en charge de la responsabilité, afin que ces services n’outrepassent pas leurs pouvoirs et qu’ils n’envahissent pas notre vie privée lorsque cela n’est pas nécessaire ».
Pour autant, le paquet européen essaye aussi de mettre en avant les petites et moyennes entreprises afin de leur permettre d’être concurrentiels dans le respect des données personnelles. Ainsi, elles peuvent faire payer des accès infondés ou injustifiés à leurs bases de données. De plus, celles qui n’ont pas leur activité professionnelle directement concernées n’auront pas nécessairement à se doter d’un délégué de protection des données personnelles ou à faire des analyses d’impact sur le sujet. Il y a finalement un allègement des procédures administratives pour les petites et moyennes entreprises dans ce domaine.
La directive sur la protection des données dans la police et la justice pénale
A l’inverse du règlement, la directive européenne n’a pas vocation à s’appliquer directement dans le droit national des pays membres. Ces derniers doivent la transposer en droit interne pour la rendre efficace. Ainsi la directive européenne sur la protection des données personnelles donne des objectifs que les Etats membres doivent mettre en œuvre dans un délai de deux ans par des lois de transposition.
L’objectif de la directive est de faciliter la « coopération transfrontalière » entre les autorités judiciaires des différents Etats membres concernant les données personnelles. Ainsi, ce volet du paquet européen cible principalement la police et la justice pénale. Les acteurs judiciaires seront encadrés quant à la communication des informations liées à des enquêtes nationales. Cette coopération des forces de l’ordre prend d’ailleurs d’autant plus de sens au regard des récents évènements et de la lutte renforcée contre le terrorisme. Cette dernière intervient dans tous les Etats membres et nécessite un travail conjoint et un partage d’un certain nombre d’informations entre les autorités nationales. Pour autant, il est important que ces transferts soient encadrés, d’où la mise en place d’une autorité européenne de contrôle unique.
Néanmoins, à l’inverse du règlement, la mise en place de la directive dépend de l’organe législatif national. De ce fait, la coopération entre les forces de l’ordre devra respecter les lois nationales de chaque Etat membre impliqué.
Les institutions européennes semblent réaliser l’importance de la protection des données personnelles dans un monde de plus en plus numérisé, où les gens savent qu’ils sont surveillés, notamment sur les réseaux sociaux. Pour autant, avoir conscience de l’existence de la collecte de données ne veut pas dire connaître les moyens employés ou prendre la mesure du nombre et de la nature des informations. Avec l’application immédiate et directe du règlement, il est fort à parier que les tribunaux nationaux vont avoir à interpréter ou à solliciter la Cour de Justice de l’Union européenne pour en clarifier le contenu par une question préjudicielle. De plus, les organes législatifs nationaux vont devoir transposer la directive dans l’ordre interne. Il faudra donc attendre cela ou le délai de deux ans pour apprécier la portée et les conséquences du paquet européen sur la protection des données personnelles dans sa globalité.
Claire Gimenes
Etudiante en Master 2 Gestion et Droit de l’Economie Numérique à l’Université de Strasbourg, je souhaite participer au développement du droit lié à l’émergence des nouvelles technologies.
