Réforme européenne de la protection des données personnelles : l’année 2013 sera législative

Publié le par

Il y a un an, la Commission européenne publiait son projet – contesté par les “Cnil” des Vingtsept – de règlement européen et de nouvelle directive sur la protection
des données personnelles et de la vie privée. Après des mois de consultation,
le dénouement législatif est venu.

Par Etienne Drouard, avocat associé, cabinet K&L Gates

La Commission européenne a publié le 25 janvier 2012 (1)
une proposition de réforme complète (2) des règles adoptées
par l’Union européenne en 1995 en matière de protection des données personnelles et de la vie privée. Après six mois de débats passionnés ouverts durant l’été 2012 au sein du Parlement européen, lequel a exposé le 10 janvier 2013 sa position dans un rapport (de l’eurodéputé Jan Philipp Albrecht) auquel ont largement contribué les autorités nationales de protection des données. Ces dernières s’opposent catégoriquement à la confiscation de leurs pouvoirs réglementaires nationaux.

Portée européenne, voire mondiale
Le projet de réforme avait pour objectif initial de mettre fin, à travers un projet de règlement (3), aux divergences entre les lois et interprétations nationales issues de la directive adoptée en 1995 (4). Force est de constater que rien n’est plus intime et empreint d’histoire politique nationale que la relation de l’individu au corps social, c’est-à-dire la protection de la vie privée. Or, ce premier objectif est manifestement mis à mal par le débat qui s’est déroulé depuis un an. A tel point que l’autre objectif, consistant à renforcer le contrôle des personnes sur leurs données, en deviendrait presque accessoire, voire négligé.
La future législation européenne serait applicable (article 3) « au traitement des données personnelles dans le cadre des activités d’un l’établissement d’un contrôleur (5) ou d’un sous-traitant (6) dans l’Union”(article 3.1), aux contrôleurs établis hors de l’Union européenne, mais qui offrent des biens et services à des personnes physiques situées dans l’UE ou suivent leurs comportements (article 3.2). La portée de l’article 3.1 est un Rubik cube, qui peut être résumé ainsi : malgré l’article 3.2, qui concerne les « contrôleurs établis hors de l’Union européenne », l’article 3.1 vise déjà, à lui seul, des sociétés situées dans le monde entier et des citoyens du monde entier. Un tel régime de loi applicable modifierait totalement la portée géographique de la réglementation européenne et soulèverait des risques d’insécurité juridique importants pour les entreprises. Car les critères d’application du futur règlement deviendraient instables et alternatifs : les activités d’un contrôleur (comment les situer en un seul lieu ?), les activités d’un sous-traitant, ou encore les pays dans lesquels un même service est fourni, quel que soit le lieu où est établi son fournisseur.
Cette réforme des critères d’application des lois européennes constitue une offensive politique sans précédent à destination du reste du monde, en particulier des géants américains d’Internet. On peut se demander si l’Union européenne a les moyens politiques et économiques suffisants pour mener jusqu’au bout une telle offensive.
Depuis 1995, les entreprises doivent notifier l’ensemble de leurs activités liées au traitement de données personnelles en Europe à des autorités nationales de contrôle. Elles doivent multiplier ces formalités dans chaque Etat européen où elles font traiter
des données personnelles. En supprimant des obligations administratives inutiles, la Commission prétendait, en janvier 2012, que les entreprises réaliseraient une économie annuelle de 2,3 milliards d’euros.

Formalités dans un seul Etat membre
Un mécanisme nouveau de « guichet unique » a donc été proposé afin que les organisations n’aient plus comme interlocuteur qu’une seule autorité nationale, dans
le pays de l’Union où elles ont leur « établissement principal », dont les critères de détermination sont complexes. Les autorités nationales de contrôle leur opposent depuis octobre 2012 la désignation d’une autorité nationale « chef de file », ce qui signifie donc que plusieurs d’entre elles resteraient compétentes.
La Commission européenne serait autorisée dans de nombreux cas à élaborer toute mesure d’application du règlement, par des « actes délégués » destinés à interpréter
les dispositions du règlement, décrire des normes de conformité, de sécurité, etc.
La multiplicité de ces « actes délégués », qui feraient l’objet d’une approbation par le Parlement européen, serait lourde à mettre en oeuvre et aurait pour objectif de transférer presque tous les pouvoirs réglementaires des Etats membres vers les institutions communautaires.

Entreprises : obligations alourdies
Les organismes de droit privé ayant plus de 250 employés auraient l’obligation de se
doter d’un « délégué de protection des données » pour veiller en interne au respect du règlement. Par ailleurs, tout organisme ayant la qualité de « contrôleur » serait astreint
– sans critère d’effectifs – à de lourdes obligations de documentation et d’audit de protection des données personnelles. Ensuite, les contrôleurs et leurs sous-traitants devraient établir des relations contractuelles détaillées et une documentation constante
qui permette au contrôleur de donner des missions précises et strictement encadrées à ses sous-traitants (7).
Par ailleurs, le projet de règlement étend à toutes les entreprises et organisations l’obligation de notifier à l’autorité de contrôle nationale – si possible dans les 24 heures – les pertes et violations graves de données à caractère personnel. Ce dispositif, dit de
« data security breach » (inspiré des Etats-Unis), avait été instauré par une directive
de novembre 2009 (8) pour les seuls opérateurs de télécommunications et fournisseurs d’accès à Internet. Il serait désormais généralisé.
Enfin, les transferts de données personnelles hors de l’Union européenne seraient toujours soumis, en dépit de la modification des critères définissant la loi applicable,
aux décisions de conformité ou d’adéquation prises par la Commission, ou aux garanties appropriées reconnues comme telles par cette dernière: codes de conduite contraignants (BCR), contrats de transfert des données personnelles, etc.
Le règlement prévoit, en l’état, des sanctions graduées. Pour les premières infractions,
les autorités nationales de contrôle pourraient adresser une lettre d’avertissement.
Les amendes commenceraient à 250.000 euros, ou jusqu’à 0,5 % du chiffre d’affaires, pour les infractions les moins graves et s’élèveraient à 500.000 euros, ou jusqu’à 1 %, pour le refus de satisfaire une demande de droit d’accès ou de rectification. Pour des infractions graves (telles que le traitement de données sensibles sans le consentement
de la personne), les autorités nationales de contrôle pourraient appliquer des sanctions jusqu’à 1 million d’euros ou 2 % du chiffre d’affaires annuel consolidé d’une société. Chaque fois que le consentement de la personne concernée serait exigé pour que ses données puissent être traitées, ce consentement ne pourrait plus (à la différence du régime général depuis 1995) être implicite, indubitable ou déduit du contexte dans lequel des données sont fournies. Lorsqu’il est exigé (article 6), le consentement devrait, selon
la Commission, être donné explicitement et librement, de manière spécifique et distincte (article 7) de toute autre engagement (un contrat, par exemple) et sans contrepartie ni contrainte, sur la base d’une information claire et préalable. En outre, le contrôleur devrait rapporter la preuve du consentement de la personne pour une finalité spécifique.
Un tel régime dit d’opt-in libre, explicite et discrétionnaire sera très certainement redouté par les entreprises, car il consisterait à interdire par principe d’utiliser des données personnelles, sauf lorsque les personnes l’ont explicitement autorisé. De très nombreux modèles économiques liés à la gratuité des services sur Internet, financés notamment
par la publicité en ligne recourant aux cookies, pourraient être remis en cause par un tel régime.
Lors de la collecte de leurs données personnelles, les personnes devraient être informées de la durée de leur conservation. En outre, un « droit à l’oubli numérique » serait destiné à permettre aux personnes de mieux gérer les risques liés à la protection de leurs données en ligne (9). Ce dispositif est directement destiné à s’appliquer aux réseaux sociaux et aux informations mises en ligne par les internautes sur eux-mêmes.

Encore un an de débat législatif
Une fois que le processus législatif sera achevé – ce qui pourrait intervenir fin 2013, voire en 2014 –, le futur règlement sera directement applicable dans tous les Etats membres deux ans après son adoption. Par conséquent, les entreprises, les Etats et les personnes peuvent aujourd’hui considérer qu’elles disposent d’un délai maximal d’un an pour participer à ce processus. Après – et pour la décennie suivante – elles devront s’adapter à une nouvelle législation européenne ayant des impacts mondiaux sur l’économie globale et numérique. @