La Commission européenne va présenter autour du 28 janvier, journée mondiale des données personnelles (Data Privacy Day), deux projets de textes législatifs sur la protection des données personnelles en ligne : l’un sur la régulation, l’autre sur la nouvelle directive.

Edition Multimédi@ s’est procuré la derrière version – numérotée 56 et datée du 29/11/11 – de la proposition de la Commission européenne au Parlement européen
et au Conseil de l’Union sur l’évolution de la législation en matière de protection des données personnelles. Deux projets de textes y sont proposés que Viviane Reding, vice-présidente de la Commission européenne, présentera fin janvier : le premier sur
la régulation de la protection des données personnelles ; le second sur la directive sur la protection des données personnelles.

La décision d’une « Cnil » suffira
Dix-sept ans après la promulgation de la directive européenne sur la protection des données personnelles (1), l’Europe s’apprête à imposer aux géants du Net (Facebook, Google, Amazon, Apple, Yahoo, Microsoft, …) et à tous les acteurs du Web ou d’Internet mobile (moteurs, sites, éditeurs, médias, régies pub, agrégateurs, opérateurs, FAI, plateformes de téléchargement ou de streaming, …) des règles contraignantes pour renforcer la protection des données personnelles collectées en ligne, exploitées et transférées par-delà les frontières. Depuis l’été dernier, mais surtout depuis la version
« 56 » des propositions divulguée à quelques professionnels lors du congrès de l’IAPP (2) Europe Data Protection à Paris le 29 novembre dernier, les lobbyistes – notamment les trois de l’IAPP, dont la liste des membres n’est pas publique – s’activent à Bruxelles pour tenter d’atténuer le caractère contraignant pour eux du prochain cadre réglementaire. Dans ce double projet législatif, Viviane Reding – commissaire en charge de la Justice après l’avoir été pour le Numérique – entend ajouter aux codes
de bonne conduite existants des obligations non explicitement prévues dans la directive de 1995 mais qui ont été identifiées par le « Groupe 29 » réunissant les Cnil (3) européennes. Il s’agit de permettre aux internautes et mobinautes de (re)prendre l’initiative sur leurs données personnelles et leur vie privée sur Internet, en leur (re)donnant le pouvoir d’exercer leurs droits : du consentement explicite (explicit consent) avant que leurs données ne soient enregistrées et exploitées, jusqu’au droit à l’oubli (right to be forgotten). Et ce, même si l’entreprise du Net est basée en dehors de l’Union comme c’est souvent le cas dans le « cloud computing » par exemple (lire p. 8 et 9). « En cas du marketing direct à des fins commerciales, [cette démarche] devrait être légale seulement si la personne concernées par ces données a donné son consentement préalable (prior consent). Le consentement peut être [aussi] retiré », précise le projet de directive dans son considérant n°50. Sont notamment visés les
« cookies » déposés par les éditeurs et/ou les annonceurs sur le terminal des internautes ou des mobinautes (4) (*) (**). Cette contrainte, déjà prévue dans le Paquet télécom de 2009, a été transposée en France par l’ordonnance du 24 août dernier (5) mais avec un compromis (6).
Plus généralement, la grande réforme de la protection des données personnelles
va consister en une seule loi européenne : les entreprises n’auront plus à demander l’autorisation préalable (prior autorisation) à chacune des vingt-sept « Cnil ». « Cette fragmentation juridique est un fardeau administratif coûteux. (…) C’est nuisible à la crédibilité et à l’efficacité des autorités de protection de données », a d’ailleurs déploré Viviane Reding, qui entend harmoniser la législation et tenter de mettre un terme au patchwork communautaire. Lorsqu’une des autorités nationales en Europe approuvera des règles ou des transferts de données personnelles d’une entreprise, cette autorisation préalable devra être reconnue par les vingt-six autres Etats. « Les citoyens (…) seront protégées d’une façon semblable partout dans l’Union européenne », a promis la vice-présidente. La nouvelle législation prévoit en outre de renforcer le pouvoir de sanction des Cnil en cas d’infraction à l’encontre d’entreprises et/ou de parties tierces contrevenantes. La portée de ce nouveau cadre aura même une portée globale, s’appliquant aussi bien aux données personnelles sur le marché unique intérieur mais aussi ailleurs dans le monde. Une mise en garde pour les multinationales du Net telles que Facebook, relevant actuellement du droit irlandais, et pour les adeptes du « nuage informatique » délocalisé.

Les « nuages informatiques » visés Ainsi, les utilisateurs pourront faire valoir leur droit sur leurs données personnelles, quel que soit l’endroit dans le monde où elles sont traitées.
« Les obligations concerneront aussi les entreprises du cloud computing », a insisté Viviane Reding. L’exécutif européen espère ainsi faire école dans le monde entier en matière de protection des données, en mettant en place une législation sans précédent
et compatible mondialement. @

Charles de Laubier