La bataille avec certains  Etats membres, avec les milieux professionnels s’annonce rude. L’alliance Parlement Commission est indispensable, Viviane Reding en est bien consciente, si non comment expliquer le message officiel de soutien envoyé aux rapporteurs par un communiqué de presse, procédure tout à fait exceptionnelle, mais pas inédite (cf.infra). Cet appui du Parlement dont  Viviane Reding prend acte n’est pas nouveau : il y a un an le rapport du député Axel Voss avait déjà reçu un accueil de même nature (cf. infra pour en savoir plus). L’aide mémoire  de la Commission européenne du 10 janvier dernier souligne de façon précise plus particulièrement  les point d’accord  les plus d’importants avec les rapporteurs. C’est un haut niveau de protection qui est attendu par une grosse majorité des députés européens. Le Parlement européen est ambitieux sur ce texte, les rapporteurs également et tout particulièrement Jan Philipp Albrecht: « si vous voulez mes données, demandez mon consentement ». Viviane Reding attache un prix élevé à la réussite de ce dossier qui possède une valeur emblématique évidente et à tout point de vue. Le Parlement européen a commencé, le 10 janvier, à examiner le travail des rapporteurs Jan Philipp Albrecht  et Droutsas qui souhaitent  un haut niveau de protection, quitte à réveiller les tensions avec les Etats-Unis et avec les professionnels. A cela s’ajoute les exigences du monde  des usagers et des internautes  qui viennent compliquer également la recherche des compromis, tant leurs  sensibilités, multiples et diverses, sont exacerbées par chacun des points du dossier.

 « Si vous voulez mes données, demandez mon consentement ! » a lancé le député européen allemand Jan Philipp Albrecht à la presse, mercredi 9 janvier. L’élu vert présentait à la presse son travail en tant que rapporteur de la commission des Libertés civiles (LIBE) sur la nouvelle législation en cours d’élaboration sur les données personnelles, le lendemain il le faisait devant la commission LIBE. En janvier 2012, (cf.Nea say) la Commission européenne avait lancé une vaste réforme alors que ces informations, les données personnelles, sont devenues capitales dans l’économie du web. 

« Les dérogations aux règles devraient être strictement limitées à ce qui est nécessaire »aà déclaré Jan  Albrecht. Il a déploré vivement que l’exécutif européen soit aussi conciliant en ce qui concerne l’accès aux données par les services répressifs des Etats. L’une des mesures phare qu’il défend est l’application des règles de l’UE à l’ensemble des entreprises qui traitent des données de citoyens (à partir de 500 citoyens européens), les obligeant ainsi à disposer d’un « représentant » en Europe pour celles nombreuses et importantes domiciliées  en dehors du territoire de l’Ur, les américaines par exemple. De plus, Jan Albrecht souhaite que la future législation soit la plus claire possible pour réduire au maximum le rôle de la Commission dans la mise en œuvre des futurs règlements (problème des mesures d’exécution et autres actes délégués). Bien avant que le rapport (à ce stade un projet de rapport) ne soit sorti, il était déjà sous le feu des critiques  de l’industrie numérique. La « Coalition des industries pour la protection des données » (ICDP auquel Viviane Reding s’est adressé il y un an) regroupe les grandes entreprises du secteur et considère que le député n’a pas su trouver un juste équilibre. « M. Albrecht a raté une occasion de concilier les garanties de confidentialité efficaces et des règles de protection dans la conduite des affaires, deux droits fondamentaux garantis par la charte de l’UE », a déclaré l’organisation. De telles dispositions frapperont surtout le marché des applications, en grande partie situé aux Etats-Unis.  Demander de telles exigences administratives, c’est  mettre hors-course ces industries et principalement les PME en raison de leur petite taille et faibles ressources, tente-t-on  d’expliquer. Mais les géants de l’Internet ne se sentent pas mieux protégés par leur taille et ont, depuis longtemps, mis toutes leurs ressources qui sont grandes, au service d’une cause qu’ils voudraient voir adoptée par les « petits ». La responsable Europe de Facebook, Erika Mann, s’inquiète de « certains aspects du rapport qui ne favorisent pas l’émergence d’un marché digital européen ». Pour l’entreprise américaine, les données personnelles sont sa principale ressource, faut-il le rappeler ?  « Ensuite, nous exhortons les députés du Parlement européen à prendre en compte les contributions importantes d’autres commissions et à promulguer des lois qui préservent la confiance de l’utilisateur tout en encourageant l’innovation et l’entrepreneuriat en Europe. » « L’Association for Competitive Technology (ACT), qui représente les PME du secteur technologique, déplore que le projet de rapport accable les PME, surtout celles centrées sur la technologie, de coûts initiaux qui réduiront indéniablement l’innovation sur le marché et pousseront plus d’entrepreneurs à fuir l’environnement réglementaire hostile de l’Europe », peut-on lire dans un communiqué de l’association. A l’inverse, le groupe Droits numériques européens s’est réjoui des améliorations portées par Jan Albrecht même s’il regrette déjà certains compromis.  Le Bureau européen de unions de consommateurs (BEUC) est mobilisé . A cet égard, du  point de vue du consommateur, M. Albrecht a  été critiqué pour ne pas avoir été assez loin dans ses propositions. L’organisation de défense des droits numériques EDRi a déclaré dans un communiqué que « M. Albrecht avait tenté d’améliorer la proposition initiale de la Commission et d’aborder plusieurs craintes soulevées par ses collègues, mais le résultat est un mélange de tentatives directes d’améliorations positives et de compromis qui s’appuient sur les avis exprimés par ses collègues jusqu’à présent. »

Le travail législatif à venir risque aussi de raviver les tensions entre Bruxelles et Washington. Lors d’une conférence sur la protection des données le 6 décembre dernier dans la capitale européenne, l’ambassadeur américain, William Kennard, a jugé nécessaire pour l’Europe de surmonter ses préjugés et ses stéréotypes. Il souhaite une convergence entre les règles des deux côtés de l’Atlantique pour une plus grande interopérabilité des systèmes. L’UE sommée de choisir une convergence transatlantique sur la protection des données. L’émergence en apparence  du « cloud » informatique représentera un obstacle de taille (cf. autre article dans Nea say). A l’inverse, pour Albrecht, le projet de loi européen se veut être une tentative de fixer une norme mondiale ambitieuse. « Nous voulons avoir notre mot à dire sur les standards internationaux, mais cela ne veut pas dire que nous voulons imposer des charges inutiles, et je suis ouvert à une discussion et à la négociation », a-t-il déclaré.

Le postulat selon lequel la protection des données est un droit fondamental constitue un élément central du rapport de M. Albrecht. Il est très largement partagé par les députés européens et par Viviane Reding, vice-présidente de la Commission européenne en charge du dossier. C’est cet aspect qui donne un relief tout particulier au problème du profilage soulevé de longue date, évoqué par plusieurs député et  traité par les deux rapporteurs et plus particulièrement par Dimitrios Droutsas. Le contrôleur européen à la protection des données (CEPD) qui a déjà fait connaître son point de vue (cf.Nea say) le renouvellera et l’amplifiera chaque fois que cela sera nécessaire, à-t-il fait dire par son adjoint, Giovanni Buttarelli, lors de la réunion du 10 janvier. Il y a un enjeu considérable pour l’avenir du CEPD mais aussi des contrôleurs nationaux rassemblés au sein du G29 ainsi que tous les contrôleurs des données personnelles. Le CEPD sera quant à lui d’une vigilance sourcilleuse ;

La barque est bien chargée et l’objectif d’une adoption rapide peut être difficile à tenir. Notamment le projet de règlement est très dense : le rapport de Jan Albrecht fait 217 pages, et le proposition de directive n’a pas beaucoup soulevé d’intérêt de la part des Etats membres qui ne seraient pas fâchés de mener une course de lenteur la concernant, voire de dissocier son sort de celui du Règlement ce à quoi les députés s’opposent pour la plupart avec leur plus grande énergie. Interrogée lors de la réunion du 10 janvier, la présidence irlandaise a confirmait qu’elle entendait bien traiter leur adoption comme un tout. Il y aura là, certainement, matière pour mener une guérilla de retardement. D’autres sources de blocages existent : l’obtention d’un consentement explicite des internautes à l’utilisation de leurs données, le droit à l’oubli, deux dispositions qui visent directement les géants américains Google et Facebook. Le « profilage » sera source également de blocage comme il l’a été dans le passé (PNR, rétention des données par exemple). La durée de conservation sera un sujet majeur.

Jan Philipp Albrecht a concentré son rapport autour de dix points principaux. Si l’idée du consentement explicite est bien reprise, la disposition sur le droit à l’oubli est traitée de façon plus complexe, nuancée dès lors que contrebalancée avec le principe de liberté d’expression. Ainsi une personne ayant donné son consentement préalable à l’utilisation de ses données, ne pourra pas ultérieurement  demander leur effacement total. Dans l’ensemble Jan Albrecht a repris les grands principes développés par la Commission tout en s’efforçant de les préciser, de lever les ambiguïtés. Ainsi est-il partisan que le nombre d’actes délégués doit être réduit aux seuls aspects techniques, non essentiels. Cela constituait à l’origine un point de frictions vite levés Viviane Reding ayant rapidement apporté les apaisements nécessaires. La désignation d’un responsable chargé de la protection des données dans les entreprises ne devrait pas dépendre du nombre des employés mais de la quantité et du type de données traitées. La commission avait proposé d’exempter les PME, pour Jan Albrecht, il n’en est pas question. Quant aux sanctions infligées aux compagnies elles doivent, là comme ailleurs, respecter le principe de proportionnalité.

Quant à la directive concernant les affaires policières et judiciaires, la rapport Droutsas vise à renforcer les sauvegardes dans le cas des transferts de données vers les pays tiers, la Commission devant préalablement avoir décidé que tout destinataire de pays tiers de données de citoyens européens présente un niveau approprié de protection des données. Une disposition combattue par les Etats-Unis qui ont estimé à plusieurs reprises qu’elle freinerait le lancement d’opération à grande échelle et les propositions américaines sont jugées trop faibles par Dimitrios Droutsas. Il a proposé dans son rapport que ces transferts de données soient strictement nécessaires et se fassent non seulement vers des pays tiers au niveau de protection jugé adéquat mais aussi que les garanties de protection prévues le soient par un instrument juridiquement contraignant. Dimitrios Droutsas a également renforcé la définition du profilage voulant la rapprocher de celle du Conseil de l’Europe : par exemple, toute forme de traitement automatisé des données à caractère personnel destiné à évaluer certains aspects relatifs aux comportements, aux habitudes, aux rendements au travail, son état de sante. La rapporteur a également prévu un article spécifique pour les données génétiques : leur traitement ne devrait être possible seulement quant un lien génétique apparaît dans l’enquête policière ou la procédure judiciaire et leur conservation uniquement pendant le temps que durent les procédures.

Prochaines étapes :

. Cette réunion du 10 janvier a constitué un « tour de chauffe », celle des 21 et 22 janvier prochain entrera dans le vif du sujet, le round d’observation sera terminé. La chronologie future a son importance, la présidence irlandaise et les députés européens, la Commission européenne ont manifesté clairement leur volonté unanime d’aller au plus vite. Une adoption sous présidence irlandaise, qui pour beaucoup représente une fenêtre d’opportunité, l’engagement irlandais, répété, semble fort ? Avant les prochaines élections ? c’est plus réaliste mais pas acquis, la fenêtre d’opportunité risque de se refermer rapidement. Les tactiques politiques vont inévitablement prendre de l’ampleur. Un exemple anecdotique, l’intervention du député libéral allemand Alvaro, élément moteur et partisan ardent et affiché d’aller vite, a fait remarquer que le délai imparti pour le dépôt des amendements, le 27 février, est trop court et suggère un report à fin mars tout en reconnaissant que rarement on a accordé un délais aussi important pour le dépôt des amendements. Comprenne qui pourra !

Le Parlement européen et la Commission européenne, au moment où les deux institutions vont être renouvelées, souhaitent présenter un bilan aussi positif que possible. Or  étant donné la valeur emblématique de la protection des données à caractère personnel, l’adoption du Règlement et de la Directive aurait le meilleur effet au tableau d’affichage. Rappelons: les citoyens européens sont de plus en plus conscients des possibilités d’abus de leurs informations personnelles. Selon un récent sondage de l’Eurobaromètre, 70 % des personnes interrogées se disaient inquiètes quant au fait que leurs informations personnelles soient utilisées par des entreprises dans d’autres buts que celui pour lequel elles ont été recueillies. Quelque 64 % d’entre elles jugent insuffisantes les informations qu’elles reçoivent sur le traitement de leurs données personnelles.

      -. 21 janvier 2013 : présentation des rapports de Jan Philipp Albrecht et Dimitrios Droutsas en commission Libertés civiles du Parlement européen (LIBE).

      -. 27 février 2013 : date butoir pour le dépôt des amendements

      -. Fin avril 2013 : débat d’orientation en  session  plénière du Parlement européen

      -. A partir de mai 2013 : négociations entre le Parlement, la Commission et le Conseil en vue d’obtenir un compromis

Pour en savoir plus :

      -. Position de Microsoft http://www.microsoft.eu/digital-policy/posts/the-eus-proposed-data-protection-regulation-microsofts-position.aspx

      -. Position informelle du Département du Commerce américain http://www.edri.org/files/US_lobbying16012012_0000.pdf

      -. Commentaires de la Mission américaine auprès de l’Union européenne http://photos.state.gov/libraries/useu/231771/PDFs/Five%20Myths%20Regarding%20Privacy%20and%20Law%20Enforcement_October%209_2012_pdf.pdf

      -. Proposition de directive de la Commission (FR) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:FR:HTML(EN) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:EN:HTML

      -. Proposition de Règlement de la Commission (FR) http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf  (EN) http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf

      -. Directive du 24 octobre 1995 du Parlement européen et du Conseil (FR) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:FR:HTML  (EN) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML

      -. Parlement européen :

               -projet de rapport de Jan Philipp Albrecht (FR) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pd (EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pd

               – document de travail  n°3 de Jan Philipp Albrecht (FR)  http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/916/916462/916462fr.pdf  (EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/916/916462/916462en.pdf

                – document de travail n° 2 de Jan Philipp Albrecht (FR) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/915/915162/915162fr.pdf   (EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/915/915162/915162en.pdf

               -projet de rapport de Dimitrios Droutsas (FR)  http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/915/915162/915162en.pdf  (EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/923/923072/923072en.pdf

               – document de travail de Dimitrios Droutsas (FR) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/915/915164/915164fr.pdf   (EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/915/915164/915164en.pdf

               -document de travail conjoint Albrecht/Droutsas (FR) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/905/905569/905569fr.pdf (EN)  http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/905/905569/905569fr.pdf

      -. Point de vue  de  l’Association for Competitive Technology (Act)   http://actonline.org/

      -. Memo de la Commission européenne : « Commission welcomes European Parliament rapporteur’ support for strong EU data protection rules »  http://europa.eu/rapid/press-release_MEMO-13-4_en.htm

      -. Statement of the vice-president Reding on the European Parliament’s vote on the Voss Report http://europa.eu/rapid/press-release_MEMO-11-489_en.htm

      -. Discours de Viviane Reding devant le Consil Justice du 26 octobre 2012 http://europa.eu/rapid/press-release_SPEECH-12-764_en.htm

      -. Dossier de Nea say Protection des données personnelles http://www.eu-logos.org/eu-logos_nea-say.php?idr=4&idnl=129&lang=fra&lst=0&arch=0&nea=129&idssth=204