Données personnelles : un règlement, une directive, des amendements et du lobbying. Etats des lieux expliqués aux journalistes par le Parlement européen.

Avec un projet d’évolution complexe de deux textes différents réunis dans un même paquet de négociations, en cours de modifications par quelques 4471 projets d’amendements, il est bien difficile pour le grand public de suivre quelque chose des débats qui secouent la Commission liberté Civiles du Parlement sur la protection des données personnelles. En milieu mai, un séminaire d’information destiné aux journalistes s’est tenu dans les bâtiments du Parlement. Une bonne occasion de réexpliquer avec clarté, espère-t-on, les enjeux d’un nouveau texte que beaucoup d’européens espèrent.

L’Union Européenne a de nombreux domaines de compétences, et la défense des droits fondamentaux en fait naturellement partie. Depuis le Traité de Lisbonne, le droit à la protection des données personnelles pour les européens est considéré comme un droit de l’Homme en lui-même. C’est donc tout naturellement que l’Europe entend être un acteur de choix dans la protection des données, qui est un sujet sensible : 250 millions de personnes utilisent internet tous les jours, et 70% des européens pensent non seulement qu’on leur demande trop de données personnelles dans leur vie quotidienne, mais sont également inquiets à l’idée qu’on les utilise à mauvais escient.

Des textes de lois européens visant à la protection des données personnelles existent. L’ensemble de la politique européenne dans ce domaine est régi pour l’instant par une directive et un cadre juridique. La Directive 95/46/CE garantie aux citoyens la protection de leurs données personnelles par une agence nationale de protection des données (la CNIL en France), sans spécifier ni sa nature, ni ses compétences. Elle stipule également que, sauf en cas d’actions pour l’intérêt public, aucun acteur, public ou privé, ne peut collecter de données arbitrairement : elle doit être régie par le principe de proportionnalité (la quantité de données est toujours le stricte minimum nécessaire), et justifiée quant à l’objectif visée et la durée de conservation. Cette directive est complétée par une deuxième, la directive 2002/58/CE, qui garantissait le caractère privé des e-mails et des conversations téléphoniques. Un cadre juridique s’occupe encore de tout le domaine de l’utilisation des données personnelles à des fins de coopérations policières et juridiques, dans les affaires criminelles notamment. Il s’agit du cadre institutionnel 2008.

Depuis 2012, les institutions européennes travaillent à faire évoluer ces textes. Tous s’accordent à dire que la directive a besoin d’un sérieux remaniement. Elle est en effet bien antérieure à l’essor d’internet, du « computer clouding (expression rendant compte de la facilité de données à s’échanger à grande vitesse et sur une longue distance d’un collecteur à un sous-traitant récepteur)» et des réseaux sociaux, qui sont autant de risques pour les données personnelles. « C’est un univers où tout est vu, ou l’accès à l’information est très facile, et ou le « hacking » pour des raisons publicitaire est omniprésent. C’est un univers merveilleux, mais qui comporte des risques », a résumé Paula Fernandez Hervas, du service presse du Parlement Européen. La Commission, ayant droit d’initiative, a présenté un projet, qui selon les propres mots de son représentant au séminaire journalisme est plus « une évolution du texte qu’une révolution ». Il est articulé autour de deux grands soucis : ajouter aux deux textes de nouveaux droits et de nouveaux concepts capables de préserver le citoyen face à la diffusion de données sur internet, et modifier leur nature pour harmoniser les droits nationaux de protections des données.

Un mot d’ordre général a été utilisé par le Parlement pour présenter le leitmotiv de l’Europe en matière de défense des données numériques : il faut que le citoyen soit à chaque instant en maitrise concrète de ses données, que la Commission a définit comme une information partielle ou complète permettant l’identification d’une personne. La Commission a travaillé sur de nouveaux droits pour rendre cette maxime réalisable aux temps d’internet et des réseaux sociaux. Parmi elles, l’une des notions principales est le consentement. Initialement, le projet de la Commission était de rendre le consentement du citoyen explicite pour l’ensemble des usages possibles de ses données, jusqu’à l’usage de « cookies », ces petits logiciels accumulant des données sur une page internet pour l’adapter au contenu de l’utilisateur à la prochaine visite. Finalement, le consentement explicite ne concernera que les utilisations de données suffisamment conséquentes pour porter atteinte aux droits fondamentaux. Une seconde clé de voute du projet est la notion de transparence dans la gestion des données : toute une série de mesure doivent garantir aux citoyens un minimum de connaissances de qui traite laquelle de ses données et où, avec possibilité de recours. S’ajoute enfin un « droit à l’oubli », c’est-à-dire un droit d’interdire l’utilisation des données quand bien même ses données ont été collectés.

En plus ces ajouts, la Commission a également insisté sur sa volonté de faire évoluer la directive de 1995 dans le domaine des Agences de Protection des Données. Pour le moment, toutes les CNIL européennes n’ont pas le même pouvoir, rendant les droits des citoyens plus ou moins effectifs selon les pays. La Commission entend travailler sur ce domaine en obligeant les états-membres tout d’abord à donner un socle minimum de compétences, et parmi elles avant tout la capacité de sanctionner et la garantie d’indépendance par rapport à l’Etat. Elle a d’ailleurs proposé les montants de ces sanctions, et espère que le Parlement et le Conseil feront perdurer cette volonté d’homogénéisation dans leur vote et dans leurs amendements. La Commission propose deuxièmement la création de ce qui pourrait être apparenté à une « agence de protection européenne ». Pour l’instant, dans les affaires ou plusieurs CNIL européennes sont concernés, ce qui arrive très souvent puisque les données circulent par-delà les frontières et que les entreprises ne sont plus tant nationales que transnationales, un comité de surveillance sert de relai entre les différentes agences. La Commission n’en est pas satisfaite, et souhaite crée un véritable mécanisme de coordination, qui serait un conseil des différentes CNIL pouvant superviser le travail d’une, mais également rendre des avis contraignant sur certaines affaires. Ce comité se nommerait comité européen de la protection des données, et serait constitué des directeurs de chaque agence.

Le Parlement a ensuite amendé ce projet de la Commission. Le nombre de ces dits amendements ne peut que montrer ce que les journalistes du séminaire de la Commission LIBE ont déjà pu voir : le sujet de la protection des données est bien plus politique, et suscite bien plus de confrontations, que ce que l’on peut imaginer à l’ordinaire d’un Parlement Européen très réticent à devenir une arène idéologique. 4471 amendements au total ont été rendus par sept familles politiques ayant une vision et des projets nettement différents, voire complètement antagonistes. Tous les partis européens, au-delà de leurs différences, étaient pour un changement de la directive et du cadre institutionnel, motivé avant tout par les nouveaux moyens de communications. Tous étaient également d’accord pour dire que le nouveau texte de loi proposé par la Commission devait être un juste équilibre entre le droit à la protection des données personnelles pour les citoyens et la liberté d’utiliser les données personnelles pour les entreprises au nom de la liberté d’entreprendre et de réaliser des profits aussi optimaux que possible sans être freiné par une juridiction trop lourde. Un bloc de familles politiques, Verts et Sociaux-Démocrates en tête, soutenus par la Gauche Unitaire, pensent que le texte de la Commission est bon, mais que les amendements proposés sont pour le moment trop à l’avantage des entreprises. Ils condamnent ainsi le travail des lobbys qui veulent limiter la portée du texte et donc de la protection offerte. Ces fédérations de partis, qui sont représentés par Jan Philip Albrecht et Dimitrios Droutsas, les rapporteurs du projet au Parlement, proposent pour rééquilibrer de créer dans les grandes entreprises un poste de « défenseur des données » pour veiller à leur utilisation, de soumettre les entreprises qui utilisent des données collectées par une première entreprise aux mêmes contraintes face aux agences de contrôle, et d’obtenir le droit de demander d’effacer ses données et de retirer son consentement.

L’alliance des Libéraux et des Démocrates, assemblage centriste du Parlement Européen, soutient en partie cet avis. Représenté par Sophie In’t Velt lors de la présentation du projet aux journalistes réunis, le parti a affirmé son engagement pour la défense des données personnelles comme moyen d’établir la confiance entre entreprise et consommateurs. « On voit souvent la protection des données comme un obstacle à la compétition, au droit de faire des affaires par leur utilisation. C’est faux. C’est une précondition à la confiance entre consommateur et offreur de services », affirme Sophie In’t Welt. Un argument que reprendra Jean Gonié, directeur de « Privacy Policy Europe for Microsoft ». L’eurodéputée, qui concilie ainsi les attentes de la gauche et de la droite du Parlement, est cependant beaucoup plus critiques envers le travail de la Commission que ses confrères socialistes : elle reproche à l’institution de ne rien avoir prévu au sujet de l’adaptation de la loi européenne à l’échelle mondiale, et notamment d’avoir occulter le problème que constituait les Etats-Unis, qui sont l’un des collecteurs principaux de données à l’échelle mondiale à des fins de « lutte contre le terrorisme » assez floues.

En face de ces deux familles, les familles politiques de Droite, le PPE et les Conservateurs Réformistes, pensent que le texte de la Commission est bien trop contraignant pour les entreprises, et pourrait nuire à l’efficacité du marché commun. Ces deux familles sont tout particulièrement opposées à la proposition de créer un chargé de la protection des données et aux nouvelles obligations des entreprises qui engendrent un cout trop significatif et empêcheraient de créer de nouveaux emplois. Le cas est surtout relatif au PME selon le représentant du PPE, Sean Kelly. Les Conservateurs Réformistes ont rappelé leur attachement à une meilleure coopération des Agences de Protection des données, pour avoir un seul acteur de référence pour les entreprises. Favorisant la transparence aux obligations administratives, la droite du Parlement européen privilégie l’autogestion éthique des données par un code de conduite dans le secteur privé. Un avis que partage Kimon Zorbas, vice-président du bureau européen de la publicité : pour lui, l’accumulation de données n’est pas faite à des fins perverses ou cyniques, mais pour orienter au mieux possible les clients sur internet vers leurs intérêts, pour adapter le web et la publicité à leur besoin. Trop de contrainte sur la gestion de données revient à handicaper les citoyens dans leurs consommations, et serait de plus un frein pour le bénéfice des entreprises et donc pour la croissance.

Le projet de la Commission divise bien plus que le simple Parlement, et le conflit s’étend également à plusieurs acteurs de la société civile, opposant des lobbys peu friands des contraintes du texte aux représentants des internautes inquiets. De nombreuses personnalités ont condamné un certain nombre de lobbys pour essayer « d’influencer outre mesure le texte afin d’en réduire la portée » (Jan Philip Albrecht, Hielke Hijmans). Le représentant de la Quadrature du Net, Jérémie Zimmermann, a relayé leurs condamnations en précisant comment un certain nombre d’amendements ont été directement copié sur des propositions de lobbys, et comment les parlementaires ont repris certaines idées de groupes d’intérêts pour réduire la portée du texte. Le logiciel LobbyPlag par exemple permet de comparer les amendements de certains eurodéputés avec les propositions des lobbys. Comme le constate le web magasine PC INpact, « les copies sont parfois serviles ». Autre exemple proposé par la Quadrature du Net, le renoncement du droit à l’oubli au profit de la mise des données sous pseudonymes proposés par certains parlementaires. « Une stupidité » pour Jérémie Zimmermann. Et pour cause : comme le préciseront ensuite Sophie In’tVelt et Joe McNamee, la mise sous pseudonymes ne changent absolument rien à la possibilité d’identifier des personnes avec les moyens ultra-performants des « tracking » actuels. Une simple étude des « likes » sur Facebook, sans nom, ni genre, permet d’identifier correctement 94% des internautes !

Tous s’accordent néanmoins sur le deuxième projet de la Commission pour les anciens textes défendant les données : leur changement en nature. La directive sur la protection des données est en effet un texte contraignant dans la fin, mais donnant aux états-membres une large interprétation du texte. Des différentes implantations par les états-membres de la même directive est sortie une « jungle normative » complexe ou la situation d’un pays à l’autre est très différente. Il est question que le nouveau texte soit un règlement, contraignant dans son implantation en moyens et en finalités, pour harmoniser le droit européen, faciliter la compréhension et l’adaptation des entreprises en Europe, et éviter le « forum shopping », c’est-à-dire l’implantation de celles-ci dans l’état-membre à la législation sur les données la plus souple. Le cadre juridique sur la coopération policière devrait lui devenir une directive afin de gagner en efficacité. Les deux textes font partie d’un même paquet de négociations, à défaut d’être un seul et même règlement « qui serait un sacrifice trop grand des états-membres, qui considèrent encore la lutte contre la criminalité et la coopération policière comme des compétences régaliennes » précise Hielke Hijmans. Le séminaire a été l’occasion de rappeler les rumeurs qui circulent sur de potentielles décisions du Conseil de faire passer le volet de la directive actuelle sur les services publics dans la future directive et non dans le futur règlement. Tous les participants issus des institutions ont été clairs : il n’en est pas question. Cela ferait perdre trop de portée au texte selon son rapporteur, Jan Philip Albrecht. « On ne peut pas faire sortir le service public du règlement pour au moins deux raisons majeures : le secteur public de la santé est le principal accumulateur de données d’une part, et une harmonisation des données dans le secteur public permettrait d’offrir au citoyen européens l’accès à un service public adapté à ses besoins, peu importe d’où ils viennent et où vivent ils » surenchérit Hielke Hijmans.

Yoann Fontaine.

Pour en savoir plus

– – Proposition de directive de la Commission

– (FR) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:FR:HTML

– (EN) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:EN:HTML

– – Proposition de Règlement de la Commission

– (FR) http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pd f(EN) http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf

– – Projet de rapport de Jan Philipp Albrecht -(FR) – http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pd – (EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pd

– – Projet de rapport de Dimitrios Droutsas

(FR) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/915/915162/915162en.pdf

(EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/923/923072/923072en.pdf

– Article résumé de PC INpact, seul média français présent au séminaire journalisme