Archives par mot-clé : Réforme

Lutte contre piratage et lutte contre le terrorisme : Internet se retrouve entre le marteau et l’enclume

Publié le par

Internet est doublement dans la ligne de mire du gouvernement. Deux projets le concernant se télescopent : la lutte contre le piratage en ligne, et la lutte contre
le cyberterrorisme. Des acteurs du Net s’inquiètent de l’impact de mesures répressives sur les libertés fondamentales.

Il s’agit pour le gouvernement de Manuel Valls (photo), d’une part,
de renforcer la responsabilité de tous les intermédiaires de l’Internet pour qu’ils déréférencent ou « assèchent » les sites présumés pirates d’œuvres protégées par le droit d’auteur, et, d’autre part, d’accroître la surveillance et le blocage de sites web afin de lutter contre le terrorisme et son apologie (1). Après l’attentat dramatique qui a touché de plein fouet le journal satirique Charlie Hebdo, ces deux projets qui n’ont a priori rien à voir entre eux se retrouvent aujourd’hui dans les priorités du gouvernement. Pour le meilleurs et… pour le pire ?

Charlie Hebdo et droit d’auteur
Le 12 janvier, soit cinq jours après l’attentat, Fleur Pellerin, ministre de la Culture et
de la Communication, présentait les propositions du gouvernement dans le cadre de la réforme européenne du droit d’auteur. « Je me suis demandé s’il fallait maintenir notre réunion, si parler de droit d’auteur et d’Europe était à l’ordre du jour, alors que nous sommes endeuillés et bouleversés. (…) Oui, bien entendu (…) Le pays de Beaumarchais et de Charlie Hebdo doit donc être plus que jamais à la hauteur de sa mission historique de défense et de promotion du droit d’auteur », a-t-elle justifié. Dans la perspective de la réforme de la directive européenne « Droit d’auteur et des droits voisins dans la société de l’information » (DADVSI), qui date de 2001 (2), le gouvernement entend plaider auprès de la Commission européenne pour une plus grande responsabilité des plateformes numériques dans la lutte contre le piratage
« Le rôle prédominant joué par ces acteurs [du Net] dans l’accès aux oeuvres nous incite à réfléchir (…) au réexamen de leur statut juridique. C’est un sujet sur lequel je travaille avec mes collègues du gouvernement », a-t-elle expliqué en s’appuyant sur
les propositions qu’a faites le professeur Pierre Sirinelli dans son rapport remis en novembre au CSPLA (3). Autrement dit, la France veut que l’Europe remette en cause la responsabilité de l’hébergeur qui bénéficie d’une responsabilité limitée – laquelle a pourtant été confortée plusieurs fois par la Cour de cassation et la Cour de justice de l’Union européenne (CJUE). L’Association des services Internet communautaires (Asic), qui représente en France YouTube/Google, Dailymotion/Orange, Facebook, Yahoo, Wikimedia ou encore AOL, est vent debout contre cette perspective : « Toute remise en cause n’aurait alors pour effet que d’imposer un contrôle a priori de tous les contenus diffusés sur Internet et ainsi une censure généralisée des contenus diffusées sur l’Internet », a-t-elle mis en garde le lendemain de l’intervention de Fleur Pellerin. Et l’Asic d’ajouter : « Cette proposition est d’autant plus choquante qu’elle intervient au lendemain d’une mobilisation forte de l’ensemble des Français au profit de la liberté d’expression ». Parallèlement, la ministre se fera la porte-parole à Bruxelles pour faire coopérer les professionnels de la publicité sur Internet à la lutte contre les violations de la propriété intellectuelle. « Il faut impliquer l’ensemble des acteurs de l’écosystème numérique, à l’instar de la mission que j’ai confiée tout récemment à (…) Julien Neutres (4) dans le domaine de la publicité en ligne. (…) Nous ne pourrons accepter que les directives (européennes) soient amendées sans que ce sujet ne soit traité », a-t-elle prévenu. Julien Neutres est missionné depuis début janvier pour « l’élaboration d’une charte, écrite en concertation avec les acteurs de la publicité, afin qu’ils s’engagent dans une démarche volontaire d’éviction des sites ne respectant pas le droit d’auteur et les droits voisins ». Cette fois, le gouvernement s’inspire du rapport de Mireille Imbert-Quaretta (5), remis à Fleur Pellerin en mai dernier (6). La charte sera signée par les régies, les annonceurs et les agences de la publicité numérique pour « assécher les ressources financières » des sites web illicites.

Décret « Blocage administratif »
Dans le domaine autrement plus grave, la lutte contre le terrorisme, le gouvernement veut renforcer la surveillance et le blocage d’Internet après les attentats des jihadistes
– alors même que le projet de décret « Blocage administratif » d’Internet (donc sans passer par le juge), découlant de la loi « militaire » (7), a déjà été notifié à Bruxelles.
Un projet de loi sur le renseignement prévoirait notamment le blocage (toujours sans contrôle judiciaire) de contenus racistes ou antisémites. Au risque d’engendrer censure et violation de droits fondamentaux. « Il ne s’agit pas d’adopter un Patriot Act à la française », a tenté de rassurer Axelle Lemaire, secrétaire d’Etat au Numérique. Le 21 janvier, Google a demandé au gouvernement français des « politiques claires » pour la suppression de contenus… @

Charles de Laubier

Réforme du Paquet télécom: un projet de règlement européen bien décevant pour tous

Publié le par

Si les intentions de Neelie Kroes sont louables pour parvenir à un marché unique des télécoms et à une régulation harmonisée en Europe, ses propositions de réforme du Paquet télécom risquent d’aboutir à l’émiettement des acteurs plutôt qu’à l’émergence de champions européens.

Par Rémy Fekete, avocat associé, Gide Loyrette Nouel

La commissaire européenne chargée de l’Agenda numérique, Neelie Kroes, vient de présenter ce qui sera sans doute son dernier coup d’éclat avant que son mandat n’arrive à son terme en 2014, et qu’elle annonce modestement comme « le projet le plus ambitieux proposé en vingt-six ans de réforme concernant le marché des télécommunications ». En prévision du Conseil de l’Union européenne des 24 et 25 octobre consacré au numérique (voir encadré ci-dessous), la vice-présidente de la Commission européenne a procédé le 11 septembre dernier à une communication sur
le marché unique des télécoms assortie d’un projet de règlement (1) fixant « les règles pour un marché européen unique des communications électroniques et pour la création d’un continent connecté ».

Un révision insuffisante
L’ensemble a déjà réussi l’exploit de susciter l’opposition unanime d’acteurs aux objectifs souvent opposés comme les associations de consommateurs comme le BEUC (Bureau européen des unions de consommateurs), le BEREC qui réunit les différents régulateurs nationaux comme l’Arcep (2), les opérateurs télécoms historiques, les opérateurs alternatifs et les nouveaux entrants. A tel point que l’on serait presque tenté d’essayer de défendre les propositions de la Commissaire européenne. Ses intentions étaient somme toute louables : réviser le Paquet télécom (3) pour alléger les contraintes réglementaires des opérateurs, susciter l’apparition d’un véritable marché européen des télécoms avec l’émergence d’opérateurs de taille européenne à même d’affronter les défis de la concurrence mondiale, mettre un terme aux coûts d’itinérance intra-européens en faveur des consommateurs, consacrer la neutralité de l’Internet… Il y en a pour tous les goûts.
Le résultat est pourtant très décevant. Est-ce par précipitation ou par défaut d’une concertation suffisante ? La Commission européenne présente en effet un texte qui ne réalise pas l’indispensable travail de révision en profondeur du Paquet télécom. De nombreuses dispositions de celui-ci méritaient d’être revues : soit qu’elles n’aient jamais été mises en oeuvre, soit que leur pertinence faisait défaut dès le début, soit enfin qu’elles soient, au cours des dix dernières années, devenues obsolètes. Les opérateurs appellent de leurs vœux depuis longtemps un allègement des contraintes règlementaires excessives qui, selon ces derniers, pénalisent le secteur des communications électroniques européen.
Une des principales prétentions du projet de règlement est de contribuer à la création d’un marché unique des communications électroniques en Europe, lequel requiert plus une révision en profondeur du régime des concentrations que la poudre aux yeux d’une déclaration unique. L’avènement d’un marché de taille européen est souhaité par tous (4), mais il ne suffit pas, comme le propose le projet de règlement (5), de prévoir le principe d’une déclaration unique pour permettre aux opérateurs d’atteindre une taille européenne : les déclarations préalables auxquelles sont déjà soumis les opérateurs fixes ne constituent pas le frein principal au déploiement paneuropéen. Le projet de règlement prévoit l’usage d’un « passeport » européen, régi selon les règles édictées par l’autorité
de chaque pays où l’opérateur souhaiterait implanter ses services, en collaboration avec le BEREC (6). En réalité, la déclaration à effectuer dans chaque pays de déploiement du service prendra la forme d’une déclaration à accomplir dans le pays du lieu de principal établissement de l’opérateur. Estce le bouleversement attendu ?

Vers un régulateur européen ?
La Commission européenne aurait pu réviser plutôt sa doctrine et sa pratique en matière de concentration qui, dans le secteur des télécoms comme dans celui de bien d’autres secteurs marchands, a abouti en Europe à l’émiettement des acteurs plutôt qu’à l’émergence de champions européens.
De fait, si le marché européen demeure probablement le plus grand marché mondial des communications électroniques en nombre d’utilisateurs, les contraintes règlementaires affectent la rentabilité des opérateurs européens dont le premier – Vodafone – n’apparaît qu’au quatrième rang mondial en revenus derrière les opérateurs chinois et américains. Quant à Orange, il n’apparaît qu’au neuvième rang…
On soupçonne la commissaire européenne tentée de voir émerger un régulateur européen tout en prétendant ne rien en faire (7). Si l’on peut partager l’ambition de voir émerger une FCC (8) à l’européenne, cette évolution nécessitera certainement un effort de concertation approfondi avec l’ensemble des régulateurs nationaux et un partage adéquat des compétences. Cela devra être le cas s’agissant en particulier des modes d’attribution de fréquences, sur lesquels on imagine mal les Etats membres abandonner entièrement leur part de souveraineté.
La tentative du projet de règlement de mettre en place des principes harmonisés d’attribution de ressources en fréquences (9) est néanmoins louable pour limiter les disparités constatées dans l’attribution de fréquences 3G et 4G.

Entre consumérisme et investissements
C’est dans ce contexte que Neelie Kroes a cru bon de jouer la carte consumériste,
dont l’effet « démagogique », diront certains, peut trouver preneur chez les parlementaires européens, en annonçant la fin de tous les frais d’itinérance au sein de l’Union européenne : soit la suppression des surcoûts sur les appels en roaming, soit par la possibilité pour le consommateur de présélectionner un opérateur étranger sans changer de carte SIM. Pour les télécoms fixes, le prix de l’appel vers l’étranger intra-européen sera celui des appels nationaux longue distance.
A l’heure où l’on demande de nouveaux efforts d’investissement considérables aux opérateurs télécoms, tant pour la 4G que pour la fibre optique, il semble paradoxal que
la règlementation européenne impose un encadrement tarifaire sur les appels intra-européens tout en annonçant dégager des sommes considérables pour le financement en partenariats publicprivé (PPP) de liaisons filaires haut débit. Plusieurs autres régions dans le monde ont vu la mise en oeuvre d’un tarif unique applicable aux communications entre plusieurs pays, dans le cadre d’une démarche commerciale dynamique des opérateurs
et non d’une contrainte réglementaire subie.
Le texte réaffirme le principe de neutralité du Net tout en permettant des facturations différentiées en fonction du volume de débit acheminé. On peut être ou ne pas être d’accord avec le principe énoncé, mais un tel bouleversement de l’écosystème du Net aurait mérité un traitement plus précis.
Au total, le projet de règlement semble manquer de rigueur, de clarté et, contrairement aux annonces accompagnant sa communication, une véritable ambition réformatrice lui fait surtout défaut. Il serait pourtant dommage que les préoccupations légitimes énoncées par Neelie Kroes soient enterrées avec son projet de règlement, dont on imagine mal qu’il devienne d’application immédiate dans tous les vingt-huit pays membres dans sa forme actuelle : l’accord du Conseil et du Parlement européens reste à obtenir. @

ZOOM

Conseil européen des 24 et 25 octobre : du Paquet télécom au Paquet numérique
La France ne veut pas que le Conseil européen des 24 et 25 octobre prochains se limite au seul Paquet télécom mais qu’il soit élargi à la fiscalité numérique. « Le développement du numérique en Europe demande une approche globale, déterminée sur les questions d’économie numérique, incluant également les questions de fiscalité, d’innovation ouverte, de concurrence et de données personnelles car la réglementation dans ces domaines a un effet structurant sur le paysage numérique européen », a affirmé Fleur Pellerin,
ministre de l’Economie numérique, au lendemain de sa rencontre, le 11 juillet, avec les commissaires européens Joaquín Almunia (Affaires économiques et monétaires), Neelie Kroes (Agenda numérique) et Algirdas Semeta (Fiscalité). Pour dépasser le Paquet télécom, Fleur Pellerin a réuni le 24 septembre un “minisommet du numérique” en présence de sept de ses homologues européens (10) et de Neelie Kroes (lire p. 5), afin
de préparer le Conseil européen d’octobre. Le gouvernement français a prévu de proposer la création d’une autorité de régulation européenne capable d’intervenir « dès que les conflits et abus apparaissent avec les plates-formes [des géants Net tels que Google, Apple, Facebook ou Amazon, ndlr] » (propos de Fleur Pellerin dans Libération du 26 septembre 2013).
La France compte ainsi proposer une taxation des « GAFA » qui, bien que situés hors d’Europe, réalisent d’importants profits en proposant leurs services aux Européens.
Cette taxe pourrait consister à les soumettre à une contribution pour les transferts
de données hors Europe, comme l’a préconisé le rapport Collin & Colin. @

Réforme de l’audiovisuel : plus de pouvoirs pour le CSAmais plus de fréquences pour l’Arcep

Publié le par

Le président de la République va continuer à nommer le président du Conseil supérieur de l’audiovisuel (CSA) mais le projet de loi débattu cet été renforcera l’indépendance de l’audiovisuel public et le pouvoir de sanction du CSA. En attendant 2014 pour tenter de réguler Internet.

Par Rémy Fekete, avocat associé, Gide Loyrette Nouel

« Moi, président de la République, je n’aurai pas la prétention de nommer les présidents des chaînes publiques, je laisserai ça à des instances indépendantes », déclarait le 2 mai 2012 le candidat François Hollande dans sa désormais célèbre anaphore de l’entre-deux tours. Voilà qui sera bientôt chose faite. Les contours du premier texte de réforme de l’audiovisuel – sur les deux voire trois qui sont au total attendus – ont été confirmés en Conseil des ministres du 5 juin 2013 (1). Ce projet de loi sera soumis en première lecture à l’Assemblée nationale le 24 juillet, soit avant la fin de la session parlementaire.

Président du CSA : toujours l’Elysée
Si le champ des pistes de réforme évoquées dans le rapport remis par Pierre Lescure le 13 mai est particulièrement large et ambitieux, le périmètre des sujets à traiter avant la fin de l’été est plus modestement arrêté : il s’agit de renforcer l’indépendance structurelle des dirigeants des entreprises audiovisuelles publiques, de réformer la composition et les modalités de nomination des membres du collège du Conseil supérieur de l’audiovisuel (CSA), et de mettre ce dernier en conformité avec la jurisprudence de la Cour européenne des Droits de l’homme (CEDH) concernant
la séparation des pouvoirs d’instruction, de poursuite et de sanction des autorités administratives indépendantes.
Depuis 2009, les dirigeants des entreprises audiovisuelles publiques – France Télévisions, Radio France et France Médias Monde (ex-Audiovisuel extérieur de
la France regroupant France 24 et Radio France International) – sont directement
nommés par le président de la République (2), après avis du CSA et des commissions parlementaires compétentes (3). A contrario, le projet de loi prévoit que ces derniers soient à nouveau nommés par le CSA, sans avis des commissions des affaires culturelles des deux assemblées. Malgré l’opposition affichée par certains parlementaires (4), le projet de loi envisagerait de ne pas interrompre les mandats en cours. Il faudrait donc attendre mai 2014, pour que la loi nouvelle trouve à s’appliquer. L’objectif consiste à renforcer l’indépendance structurelle de l’audiovisuel public, notamment à l’égard de l’exécutif, dans certaines limites puisque c’est bien le président de la République qui continuera de nommer le président du CSA. Quant à la composition du collège du gendarme de l’audiovisuel, elle est remise à plat (5).
Enfin, le troisième axe du projet de loi touche au pouvoir de sanction du CSA. Afin
de mettre ce dernier en conformité avec la jurisprudence de la CEDH portant sur les pouvoirs des autorités administratives indépendantes (6), le projet de loi entend séparer la fonction d’instruction des dossiers de celle de délibération des sanctions (7). Pour
ce faire, la loi propose la création d’un rapporteur, en charge de décider si les faits du dossier porté à sa connaissance justifient ou non l’engagement d’une procédure de sanction devant l’organe de délibération, le collège. Ce rapporteur, nommé par le vice-président du Conseil d’Etat, serait ainsi indépendant du collège et réciproquement ne participerait pas à ses délibérés. Les garanties relatives au “procès équitable” devraient donc être renforcées. Bien que les sujets les plus brûlants ne soient vraisemblablement pas traités avant 2014, le rapport Lescure semble avoir ébauché les lignes directrices des prochains projets de loi auxquels le gouvernement devra s’atteler prochainement. S’agissant des pouvoirs dévolus au CSA, sont formulées plusieurs recommandations substantielles en vue d’élargir ses pouvoirs au réseau Internet sur lequel prospèrent
la diffusion et la “consommation” d’œuvres audiovisuelles, notamment au travers des services de vidéo à la demande (VOD).

Des pouvoirs élargis au Net pour le CSA
Outre le transfert des compétences de l’Hadopi dans le périmètre des attributions du CSA, le rapport Lescure entend véritablement lui conférer un rôle central, en l’érigeant comme autorité en charge de l’observation et de la régulation des pratiques culturelles en ligne. Certes, le rapport Lescure contient de nombreuses autres mesures de principe, déjà largement commentées : financement de la création audiovisuelle, chronologie des médias (8), incitation à la numérisation des œuvres, nouveaux dispositifs fiscaux à mettre en oeuvre (9), mise en place d’un code de bonne conduite
à l’attention des moteurs de recherche, refonte du statut légal de l’hébergeur, etc. Ce nouveau rapport présente le mérite de proposer une approche globale de la situation
y compris sur des sujets déjà largement débattus (10).

Du donnant-donnant avec les GAFA ?
Parmi cette pléthore de propositions, une innovation étend significativement les prérogatives du CSA en matière de régulation de l’offre culturelle en ligne : proposer aux fournisseurs de services en ligne de prendre des engagements contractuels à l’égard du CSA en échange d’un certain nombre d’avantages. Faute de pouvoir “imposer” l’exception culturelle dans le paysage de la Toile, le rapport Lescure adopte une approche de type donnantdonnant, selon laquelle tout fournisseur de services, qu’il soit établi en France ou à l’étranger, pourrait accéder à des avantages significatifs : priorité dans l’accès aux dispositifs d’aides publiques sectoriels et un relèvement des taux des aides publiques et/ou des plafonds d’aides publiques, priorité dans l’accès aux œuvres via un aménagement spécifique de la chronologie des médias pour la VOD par exemple, priorité dans l’accès aux consommateurs via une garantie d’accès aux offres des distributeurs (FAI, terminaux connectés, plates-formes vidéo, magasins d’application), ou encore priorité dans la gestion des débits, sous le contrôle de l’Arcep.
En échange, à quoi devrait s’engager le fournisseur de service volontaire ? Le rapport Lescure propose de prévoir des engagements quasi-contractuels ayant pour finalité
de prendre acte de la volonté des fournisseurs concernés de participer à l’émergence d’une offre “de service public” en ligne : quotas d’exposition de la création européenne ou française sur les pages d’accueil des services, voire des productions indépendantes ou “nouveaux talents”, contribution au financement de la création en pourcentage du chiffre d’affaires, dépenses affectées à la numérisation pérenne des œuvres, offre de tarifs sociaux au public afin de favoriser l’accessibilité culturelle des catégories sociales les plus sensibles (chômeurs, étudiants), et/ou de mise en place de partenariats institutionnels avec les médiathèques ou les universités. Quelle portée pourrait avoir
une telle proposition dans la pratique ? Des fournisseurs de services surpuissants, tels que les “GAFA” (11), accepteraient-ils de jouer le jeu de cette régulation basée sur le volontariat ? Rien ne permet de s’assurer de l’efficacité d’une telle mesure, qui pourrait
en réalité rester lettre morte. Entorse au sacro-saint principe de la neutralité du Net selon les pourfendeurs de la liberté sur la Toile (12), proposition pragmatique en faveur de l’exception culturelle française selon le CSA, le débat ne fait que commencer. Le rapport Lescure tend sans conteste à étendre les pouvoirs du CSA à de nouvelles prérogatives, telles que la défense et la promotion de l’offre culturelle légale en ligne
– via l’absorption de l’Hadopi – ou la régulation des contenus audiovisuels sur Internet sur la base du volontariat des fournisseurs de services.
Parallèlement, le débat récurrent relatif à la fusion entre CSA et l’Arcep, voire l’ANFR (13), semble avoir été relégué à l’arrière-plan au cours des derniers mois, faute d’arbitrage gouvernemental clair sur le sujet. En effet, la tendance à la bipolarisation de la régulation, dans une perspective “contenus versus contenants”, reprend aujourd’hui de la vigueur à la faveur de la bataille que se livrent l’Arcep et le CSA s’agissant des fréquences 700 Mhz. La ministre en charge de l’Economie numérique, Fleur Pellerin, a confirmé le 27 juin – lors de la conférence “Spectre et Innovation” organisée par l’ANFR – ce que le gouvernement avait déjà annoncé au printemps dernier. A savoir : réattribuer aux opérateurs télécoms les fréquences dans la bande 700 Mhz exploitées par les chaînes de la TNT, au grand dam de ces dernières et du CSA, afin de permettre aux opérateurs d’augmenter leurs ressources pour le développement des services 4G. Cette initiative avait été accueillie favorablement par l’Arcep (14).

 700 Mhz : question cruciale du calendrier
Si les modalités précises de la replanification n’ont pas encore été arrêtées, et quelle que soit l’issue des consultations publiques à venir, nul doute que ces débats autour d’un calendrier à échéance 2017-2020 donneront l’occasion au gouvernement comme aux premiers concernés – CSA et Arcep – d’exprimer leurs positions respectives sur la politique de gestion des fréquences et donc, in fine, sur leurs attributions respectives en
la matière. Reste à savoir si ces deux régulateurs étendront chacun leurs sphères de compétences respectives, ou bien si seul l’un d’entre eux en ressortira vainqueur. @

Réforme européenne de la protection des données personnelles : l’année 2013 sera législative

Publié le par

Il y a un an, la Commission européenne publiait son projet – contesté par les “Cnil” des Vingtsept – de règlement européen et de nouvelle directive sur la protection
des données personnelles et de la vie privée. Après des mois de consultation,
le dénouement législatif est venu.

Par Etienne Drouard, avocat associé, cabinet K&L Gates

La Commission européenne a publié le 25 janvier 2012 (1)
une proposition de réforme complète (2) des règles adoptées
par l’Union européenne en 1995 en matière de protection des données personnelles et de la vie privée. Après six mois de débats passionnés ouverts durant l’été 2012 au sein du Parlement européen, lequel a exposé le 10 janvier 2013 sa position dans un rapport (de l’eurodéputé Jan Philipp Albrecht) auquel ont largement contribué les autorités nationales de protection des données. Ces dernières s’opposent catégoriquement à la confiscation de leurs pouvoirs réglementaires nationaux.

Portée européenne, voire mondiale
Le projet de réforme avait pour objectif initial de mettre fin, à travers un projet de règlement (3), aux divergences entre les lois et interprétations nationales issues de la directive adoptée en 1995 (4). Force est de constater que rien n’est plus intime et empreint d’histoire politique nationale que la relation de l’individu au corps social, c’est-à-dire la protection de la vie privée. Or, ce premier objectif est manifestement mis à mal par le débat qui s’est déroulé depuis un an. A tel point que l’autre objectif, consistant à renforcer le contrôle des personnes sur leurs données, en deviendrait presque accessoire, voire négligé.
La future législation européenne serait applicable (article 3) « au traitement des données personnelles dans le cadre des activités d’un l’établissement d’un contrôleur (5) ou d’un sous-traitant (6) dans l’Union”(article 3.1), aux contrôleurs établis hors de l’Union européenne, mais qui offrent des biens et services à des personnes physiques situées dans l’UE ou suivent leurs comportements (article 3.2). La portée de l’article 3.1 est un Rubik cube, qui peut être résumé ainsi : malgré l’article 3.2, qui concerne les « contrôleurs établis hors de l’Union européenne », l’article 3.1 vise déjà, à lui seul, des sociétés situées dans le monde entier et des citoyens du monde entier. Un tel régime de loi applicable modifierait totalement la portée géographique de la réglementation européenne et soulèverait des risques d’insécurité juridique importants pour les entreprises. Car les critères d’application du futur règlement deviendraient instables et alternatifs : les activités d’un contrôleur (comment les situer en un seul lieu ?), les activités d’un sous-traitant, ou encore les pays dans lesquels un même service est fourni, quel que soit le lieu où est établi son fournisseur.
Cette réforme des critères d’application des lois européennes constitue une offensive politique sans précédent à destination du reste du monde, en particulier des géants américains d’Internet. On peut se demander si l’Union européenne a les moyens politiques et économiques suffisants pour mener jusqu’au bout une telle offensive.
Depuis 1995, les entreprises doivent notifier l’ensemble de leurs activités liées au traitement de données personnelles en Europe à des autorités nationales de contrôle. Elles doivent multiplier ces formalités dans chaque Etat européen où elles font traiter
des données personnelles. En supprimant des obligations administratives inutiles, la Commission prétendait, en janvier 2012, que les entreprises réaliseraient une économie annuelle de 2,3 milliards d’euros.

Formalités dans un seul Etat membre
Un mécanisme nouveau de « guichet unique » a donc été proposé afin que les organisations n’aient plus comme interlocuteur qu’une seule autorité nationale, dans
le pays de l’Union où elles ont leur « établissement principal », dont les critères de détermination sont complexes. Les autorités nationales de contrôle leur opposent depuis octobre 2012 la désignation d’une autorité nationale « chef de file », ce qui signifie donc que plusieurs d’entre elles resteraient compétentes.
La Commission européenne serait autorisée dans de nombreux cas à élaborer toute mesure d’application du règlement, par des « actes délégués » destinés à interpréter
les dispositions du règlement, décrire des normes de conformité, de sécurité, etc.
La multiplicité de ces « actes délégués », qui feraient l’objet d’une approbation par le Parlement européen, serait lourde à mettre en oeuvre et aurait pour objectif de transférer presque tous les pouvoirs réglementaires des Etats membres vers les institutions communautaires.

Entreprises : obligations alourdies
Les organismes de droit privé ayant plus de 250 employés auraient l’obligation de se
doter d’un « délégué de protection des données » pour veiller en interne au respect du règlement. Par ailleurs, tout organisme ayant la qualité de « contrôleur » serait astreint
– sans critère d’effectifs – à de lourdes obligations de documentation et d’audit de protection des données personnelles. Ensuite, les contrôleurs et leurs sous-traitants devraient établir des relations contractuelles détaillées et une documentation constante
qui permette au contrôleur de donner des missions précises et strictement encadrées à ses sous-traitants (7).
Par ailleurs, le projet de règlement étend à toutes les entreprises et organisations l’obligation de notifier à l’autorité de contrôle nationale – si possible dans les 24 heures – les pertes et violations graves de données à caractère personnel. Ce dispositif, dit de
« data security breach » (inspiré des Etats-Unis), avait été instauré par une directive
de novembre 2009 (8) pour les seuls opérateurs de télécommunications et fournisseurs d’accès à Internet. Il serait désormais généralisé.
Enfin, les transferts de données personnelles hors de l’Union européenne seraient toujours soumis, en dépit de la modification des critères définissant la loi applicable,
aux décisions de conformité ou d’adéquation prises par la Commission, ou aux garanties appropriées reconnues comme telles par cette dernière: codes de conduite contraignants (BCR), contrats de transfert des données personnelles, etc.
Le règlement prévoit, en l’état, des sanctions graduées. Pour les premières infractions,
les autorités nationales de contrôle pourraient adresser une lettre d’avertissement.
Les amendes commenceraient à 250.000 euros, ou jusqu’à 0,5 % du chiffre d’affaires, pour les infractions les moins graves et s’élèveraient à 500.000 euros, ou jusqu’à 1 %, pour le refus de satisfaire une demande de droit d’accès ou de rectification. Pour des infractions graves (telles que le traitement de données sensibles sans le consentement
de la personne), les autorités nationales de contrôle pourraient appliquer des sanctions jusqu’à 1 million d’euros ou 2 % du chiffre d’affaires annuel consolidé d’une société. Chaque fois que le consentement de la personne concernée serait exigé pour que ses données puissent être traitées, ce consentement ne pourrait plus (à la différence du régime général depuis 1995) être implicite, indubitable ou déduit du contexte dans lequel des données sont fournies. Lorsqu’il est exigé (article 6), le consentement devrait, selon
la Commission, être donné explicitement et librement, de manière spécifique et distincte (article 7) de toute autre engagement (un contrat, par exemple) et sans contrepartie ni contrainte, sur la base d’une information claire et préalable. En outre, le contrôleur devrait rapporter la preuve du consentement de la personne pour une finalité spécifique.
Un tel régime dit d’opt-in libre, explicite et discrétionnaire sera très certainement redouté par les entreprises, car il consisterait à interdire par principe d’utiliser des données personnelles, sauf lorsque les personnes l’ont explicitement autorisé. De très nombreux modèles économiques liés à la gratuité des services sur Internet, financés notamment
par la publicité en ligne recourant aux cookies, pourraient être remis en cause par un tel régime.
Lors de la collecte de leurs données personnelles, les personnes devraient être informées de la durée de leur conservation. En outre, un « droit à l’oubli numérique » serait destiné à permettre aux personnes de mieux gérer les risques liés à la protection de leurs données en ligne (9). Ce dispositif est directement destiné à s’appliquer aux réseaux sociaux et aux informations mises en ligne par les internautes sur eux-mêmes.

Encore un an de débat législatif
Une fois que le processus législatif sera achevé – ce qui pourrait intervenir fin 2013, voire en 2014 –, le futur règlement sera directement applicable dans tous les Etats membres deux ans après son adoption. Par conséquent, les entreprises, les Etats et les personnes peuvent aujourd’hui considérer qu’elles disposent d’un délai maximal d’un an pour participer à ce processus. Après – et pour la décennie suivante – elles devront s’adapter à une nouvelle législation européenne ayant des impacts mondiaux sur l’économie globale et numérique. @