La vice-présidente de la Commission européenne, en charge de la Justice,
des Droits fondamentaux et de la Citoyenneté, répond aux questions de Edition Multimédi@ sur la réforme de la protection des données personnelles, les règles
de confidentialité de Google, le « cloud » ou encore l’ACTA.
Propos recueillis par Charles de Laubier
Edition Multimédi@ : Vous avez fait le 25 janvier deux propositions législatives sur la protection des données personnelles en Europe, pour remplacer les législations nationales qui constituent un patchwork : des Etats contestent-ils votre projet ?
Viviane Reding : La réforme soumise par la Commission européenne met à jour et modernise les principes inscrits
dans la directive de 1995 sur la protection des données, afin
de garantir à l’avenir les droits en matière de respect de la vie privée. La réforme comprend deux propositions législatives : un règlement définissant
un cadre général de l’Union européenne pour la protection des données, et une directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes (1) . Depuis que la Commission a annoncé sa proposition de réforme, les réactions des États membres ont été dans l’ensemble positives, mais ils sont toujours en train de prendre position. On en saura plus une fois que la réforme sera discutée – en juin prochain – au Conseil Justice et Affaires intérieures (JAI), qui regroupe les ministres européens concernés.
EM@ : La suppression des notifications aux autorités (de type Cnil) des traitements « non risqués » de données personnelles ne laisse-t-elle pas « libres » les acteurs du Web ?
V. R. : La réforme réduira sensiblement les formalités administratives, en particulier celles des PME – notamment l’obligation actuelle de notifier le traitement des données, qui coûte aux entreprises quelque 130 millions d’euros par an, ou l’autorisation préalable pour les transferts internationaux de données sur la base de règles d’entreprise contraignantes ou de clauses contractuelles types. La réforme imposera aux entreprises une responsabilité plus grande lorsqu’elles traitent des données. Les grandes entreprises (employant plus de 250 salariés), ainsi que celles qui observent systématiquement les comportements des citoyens, devront désigner un délégué à la protection des données.
EM@ : Le « cloud » va intensifier les sites web extraeuropéens et le danger sur les données personnelles (collectes, cookies, stockage, …). La législation proposée aura-t-elle une portée mondiale suffisante ?
V. R. : La protection des données est un enjeu global. Les données personnelles sont mondialisées. Le « nuage » est apatride, ce qui va de même pour un grand nombre des entreprises multinationales qui traitent ces données. A l’ère de la mondialisation des flux de données, il nous faut une approche commune entre les pays partageant les mêmes valeurs. Sinon, nous pourrions nous retrouver avec des normes imposées par d’autres. Le mécanisme euro-américain Safe Harbour (2) est un bon point de départ. Nous devrions le développer davantage. Pour relever ces défis, la Commission européenne propose un système qui garantira, pour les données transférées à l’extérieur des Vingt-sept, un niveau de protection similaire à celui assuré à l’intérieur (déclaration, consentement préalable, droit à l’oubli, respect de la vie privée, etc). Ce système comportera des règles claires sur la législation applicable aux entreprises ou aux organisations établies en dehors de l’Union européenne. Il précisera notamment que les règles européennes s’appliquent dans tous les cas où les activités de l’organisation sont liées à l’offre de biens ou de services à des personnes situées en Europe ou au suivi de l’évolution de leur comportement.
EM@ : Le 22 février, l’administration Obama a présenté une « charte pour la protection des données », conclue avec les géants du Web. Comment accueillez-vous cette initiative ?
V. R. : Je suis contente que l’administration Obama ait récemment franchi un pas décisif en affirmant son intention de travailler de concert avec le Congrès américain sur une « charte pour la protection des données » outre- Atlantique. Ceci implique que les États-Unis se rapprochent du modèle régulateur européen. C’est important puisque – sous le nouveau système européen – les règles de l’Union européenne devront s’appliquer si des données à caractère personnel font l’objet d’un traitement à l’étranger. Et ce, par les entreprises implantées sur le marché européen et proposant leurs services aux citoyens européens. Aucune société opérant en Europe ne serait en mesure de contourner les règles. Nous coopérons avec d’autres pays en dehors de l’Europe, ainsi qu’avec des organisations internationales, pour s’assurer que le droit des Européens à la protection des données est garanti, même quand leurs données font l’objet d’un traitement à l’étranger. Nous ne pouvons pas fonctionner en vase clos – d’autant plus que l’Internet n’a pas de frontières !
EM@ : Le 13 février, Bruxelles et Washington ont donné leur feu vert au rachat de Motorola Mobility par Google, devenant maître du contenant et du contenu : êtes-vous d’accord avec les nouvelles règles de confidentialité de Google applicables au 1er mars ?
V. R. : Le groupe de travail européen de l’article 29 (3) a chargé la Commission nationale de l’informatique et des libertés (Cnil) d’analyser les nouvelles règles de confidentialité de Google. Le 27 février dernier, elle a confirmé dans une lettre adressée à Google que ses nouvelles règles de confidentialité ne sont pas conformes avec les dispositions de la directive de 1995 sur la protection des données (4). Je salue la déclaration des autorités européennes de protection des données demandant à Google de retarder l’introduction de ses règles de confidentialité, jusqu’à ce que la question de leur conformité avec les règles européennes soit résolue.
EM@ : Mais par courrier daté du 28 février, Google a envoyé de Paris une fin de non recevoir à la Cnil et applique depuis le 1er mars ses nouvelles règles. Que comptez-vous faire ?
V. R. : Il est regrettable que Google soit allé de l’avant avec les nouvelles règles, avant d’aborder les préoccupations de l’autorité française de la protection des données. La décision finale d’infliger ou non une sanction à Google incombe à la Cnil, et non à la Commission européenne. Or, à mon avis, l’une des plus grandes « sanctions » serait cependant la perte de confiance des consommateurs. Et ceci, parce que Google,
comme tout autre service en ligne, dépend des données qui leur sont confiées par les consommateurs et de la confiance des consommateurs dans l’utilisation qui en sera faite.
EM@ : Vous avez dit le 22 février : « La protection du droit d’auteur ne peut jamais être une justification pour supprimer la liberté d’expression ou la liberté de l’information, (…) Bloquer l’Internet n’est jamais une option ». Quand comptez-vous saisir la Cour de justice de l’Union européenne pour savoir si l’ACTA est compatible avec les libertés fondamentales ?
V. R. : La Commission européenne prendra la décision formelle de saisir la Cour de justice européenne dans les semaines à venir – une proposition doit être adoptée par le collège des commissaires. Nous estimons que cette étape est nécessaire – le débat sur l’ACTA devrait être fondé sur des faits et non sur les craintes ou les rumeurs. Il incombe
à la Commission européenne de fournir à ceux qui ont à se prononcer sur l’ACTA – nos représentants parlementaires, mais aussi le grand public – l’information la plus détaillée
et la plus précise qui existe sur la compatibilité de l’ACTA, avec toutes les libertés fondamentales consacrées dans les traités de l’Union européenne. Un avis de la Cour
de justice sur la légalité de l’ACTA apportera de la clarté à cet égard. @