Les 9 et 10 octobre derniers, l’aile « József Antall » du Parlement Européen accueillait la réunion interparlementaire organisée par la Commission LIBE (libertés civiles, justice et affaires intérieures), afin de discuter de la révision du cadre européen de la protection des données personnelles. LIBE avait en effet invité les élus des parlements nationaux des Etats membres de l’Union, ainsi que des représentants de la société civile et du monde des affaires, des fonctionnaires de l’Union Européenne, des membres de la communauté universitaire ainsi que des représentants de l’administration américaine.
Cette réunion visait à recueillir les avis les plus larges et les plus diversifiés afin d’éventuellement amender les projets de Règlement et de Directive concernant la protection des données.
Lors des deux jours durant lesquels a duré la réunion, on a pu remarquer une certaine affluence, même si proportionnellement, la représentation des parlements nationaux était noyée dans l’ensemble des autres participants.
Les participants ont vu la réunion s’articuler autour de sept thèmes, coordonnés par des panels d’intervenants chaque fois différents :
1) La réforme du cadre de la protection des données dans l’Union – Inspirer la confiance dans un monde numérique et global
2) L’harmonisation et le renforcement des droits et des principes de la protection des données pour un monde interconnectés
3) Défis pour la protection des données et les services répressifs
4) Les responsables du traitement ou sous-traitant dans le secteur privé
5) La mise en œuvre de la loi sur la protection des données. Veiller à la cohérence et à l’efficacité
6) Le partage des données et l’accès aux bases de données privées par la police
7) La protection des données dans le contexte mondial : la dimension transatlantique et quelles normes pour une protection efficace
Au vu des thèmes proposés, on constate bien que la Commission LIBE a voulu couvrir un maximum de sujets concernant la protection des données, dans la droite ligne des projets de Règlement et de Directive.
Le panel d’intervenants réunissait des acteurs de tous les niveaux et de tous les points de vue en la matière. Outre Martin Schulz – Président du Parlement Européen – et Viviane Reding – Vice-Présidente de la Commission Européenne en charge de la justice, des droits fondamentaux et de la citoyenneté – pour les discours officiels, on retrouvait dans l’assemblée des personnalités comme : Françoise le Bail (Directrice DG Justice – Commission Européenne), Jean Gonie (Microsoft) et Erika Mann (Facebook), Lord Hannay (Chambre des Lords), messieurs Hustinx(Contrôleur Européen à la Protection des Données), Oetheimer (FRA) et Kohnstamm (groupe Article 29), Joe McNamee (European Digital Rights) et des officiels d’outre-Atlantique comme David Vladeck (Federal Trade Commission), Cameron Kerry (ministère américain du Commerce),Bruce Swartz (sous-procureur général adjoint Ministère de la Justice) et Marc Rottenberg (EPIC). L’OCDE et le Conseil de l’Europe disposaient également des représentants parmi les intervenants.
Il est à noter que seulement certains Parlements nationaux ont pris la peine d’émettre une opinion préalable à la réunion interparlementaire(8 Etats membres) ou ne serait-ce que répondre au questionnaire proposé par la Commission des libertés civiles, de la justice et des affaires intérieures (11 Etats membres ont répondu).
A côté de cela, le Contrôleur Européen de la Protection des Données, l’Agence de l’Union Européenne des Droits fondamentaux (cf. article publié par EU-Logos, le 15 octobre 2012), ou encore le Comité Economique et Social avaient, eux, émis un avis complet sur la réforme du cadre européen de protection des données.
Dans cet océan de documents, caractéristique semble-t-il des réunions interparlementaires, la rencontre des 9 et 10 octobre derniers ont amenés les rapporteurs – Jan-Philipp Albrecht (Verts) et Dimitri Droutsas (S&D) – a devoir prendre en considération plusieurs remarques essentielles dans la poursuite du travail préalable à la réforme de la législation européenne en matière de protection des données.
La tournure des débats fait ressortir des remarques similaires.
Premièrement, les intervenants et participants se sont accordés pour dire que le frein majeur à l’établissement d’une telle régulation est avant tout un problème de confiance dans l’économie numérique. Quand on sait que seul 7% des utilisateurs européens d’Internet ont déjà passé une commande transfrontalière dans l’Union (source : Parlement Européen – Commission Industrie – 11.10.12), on constate àl’évidence que le manque de confiance est une priorité de premier plan à laquelle il faut remédier. La protection des données ne sera bénéfique pour le citoyen européen que si celui-ci a pleine confiance dans le monde numérique.
Deuxièmement, la question de la confiance rejoint un autre problème soulevé lors de la réunion interparlementaire. En effet, le projet de Règlement et de Directive prévoit les relations qu’entretiendra l’Union Européenne avec les pays tiers, en matière de partage et de transfert de données personnelles. Du côté européen, on veut s’assurer que les données transférées aux pays tiers bénéficieront d’une protection équivalente dans les législations étrangères à l’Union. D’où l’importance de la présence des homologues américains – en effet la culture juridique américaine de « libertés » a souvent tendance à s’opposer à la vision européenne de « droits ». L’économie numérique européenne ne sera compétitive et basée sur la confiance de ses citoyens que si la protection des données personnelles est également assurée dans les relations qu’entretient l’Union avec les pays tiers.
Ensuite, et troisièmement, l’une des critiques majeures adressées à la proposition de réforme du cadre européen de protection des données est celle à l’encontre du trop large champ de manœuvre laissé à la Commission Européenne matière d’actes délégués et d’exécution*.
Dans un domaine aussi sensible que la protection des données personnelles, en tant que droit fondamental, les intervenants et participants craignent de voir la Commission avec une possibilité de recours aux actes délégués et d’exécution si large. La protection des données personnelles étant une matière appartenant au premier plan aux citoyens européens, il semble évident que le Parlement Européen – leur organe représentatif – puisse disposer d’un contrôle le plus large possible sur les actions de l’Union. Néanmoins, les représentants de la Commission présents, dont Mme Reding, ont insisté sur une utilisation limitée mais néanmoins nécessaire de ces actes délégués et d’exécution si l’Union veut garder un niveau de compétitivité mondial digne de ce nom dans le monde globalisé (qui est un des objectifs de cette réforme de la protection des données personnelles ; dans la droite ligne de la stratégie 2020).
Quatrièmement, c’est la question du « one-stop shop » (guichet unique européen en matière de protection des données) qui a été posée. En effet, les parlementaires nationaux et européens s’inquiètent du fait qu’avec la mise en place d’une telle agence unique européenne compétente, les agences nationales déjà en place – compétentes et légitimées auprès des citoyens – pourraient voir leur indépendance entamée. C’est pourquoi la réforme de la législation doit insister sur la nécessité d’une coopération efficace entre les agences nationales de protection des données et le futur guichet unique européen. Le fonctionnement de ces agences devant avant tout être basé sur l’indépendance, afin d’avoir une protection des données personnelles cohérente et efficace, pour le citoyen et pour stimuler le développement de l’économie numérique en Europe.
Et finalement, le message transmis par la conférence est de pousser plus loin possible la réforme de la législation européenne. D’une part, l’Agence Européenne des Droits Fondamentaux a insisté sur le fait que la réglementation de l’Union se devait de mettre en avant un lien fort, voire indissociable, avec la Charte des Droits Fondamentaux de l’Union, afin de « cimenter » la protection des données personnelles dans les droits du citoyen européen.
D’autre part, dans une optique plus large que l’intérieur des frontières de l’Union, il est important de souligner qu’actuellement, seule la Convention 108 du Conseil de l’Europe, relative à la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, régit les relations de l’Union Européenne avec des pays non-membres, sur la question du partage des données (comme l’a d’ailleurs rappelé EDRi dans ses conclusions suite à la réunion interparlementaire). Il serait donc intéressant d’étendre le cadre d’application de la future réforme du cadre législatif de l’Union en la matière aux pays membres du Conseil de l’Europe, voire à l’OCDE, sphère « d’influence » ou du moins réseau relationnel de l’Union Européenne. A ce sujet, la relation avec les USA doit avant tout être clarifiée, pour ne pas laisser l’ombre d’un doute sur l’utilisation que les autorités américaines pourraient faire des données personnelles des citoyens européens. Les déclarations des représentants américains laissent transparaître un certain doute quant à leur engagement.
Maintenant, dans quelle mesure les remarques et interventions faites lors de la réunion interparlementaire vont influencer la suite du processus législatif ? Il est évident que les rapporteurs de LIBE, messieurs Albrecht et Droutsas, vont les rendre en compte dans la suite de leurs travaux. La Commissaire Reding avait appelé à ce que le texte final soit bouclé pour la fin de l’année, mais il semble plus prudent de dire que les prochaines avancées devront attendre la Présidence irlandaise (l’Irlande faisant, au passage, office d’exemple en matière de protection des données) avant de voir le paquet de réforme final présenté en séance plénière du Parlement Européen.
François Balate. (Master Institut d’études européennes de l’Université libre de Bruxelles)
* Depuis l’entrée en vigueur du Traité de Lisbonne, la Commission Européenne dispose de mesures d’exécution que sont les actes délégués (art.290 TFUE – possibilité pour la Commission de compléter ou modifier les éléments non essentiels de l’acte de base) et les actes d’exécution (art.291 TFUE – possibilité pour la Commission de mettre en place des procédures consultatives et des procédures d’examen, pour certaines mesures de l’acte de base).
Pour en savoir plus :
-. Convention 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel – 28.01.1981 (FR)
http://conventions.coe.int/treaty/fr/treaties/html/108.htm
-. Documents de réunion de la Commission LIBE sur la conférence interparlementaire des 9 et 10 octobre 2011 (EN)
http://www.europarl.europa.eu/meetdocs/2009_2014/organes/libe/libe_20121009_0900.htm
-. « Réforme de la protection des données : l’Agence de l’Union Européenne des droits fondamentaux appelle à se rattacher plus fortement à la Charte » – EU-Logos – 15.10.2012 (FR)
