Journée européenne de la protection des données. Une course de vitesse est engagée entre partisans et opposants à leur protection. Et la démocratie ?

A l’occasion de la Journée européenne de la protection des données, le Conseil de l’Europe et l’Agence des droits fondamentaux de l’UE ont publié un guide sur le droit européen de la protection des données. Le Conseil de  l’Europe annonce un future livre blanc : Internet et démocratie Le débat sur les enjeux de la protection des données  reste encore largement ouvert à plus d’un  titre. Viviane Reding se fâche très fort contre les Etats-Unis ! Et la démocratie dans tout cela ?Rappel  des enjeux et du contexte.

A l’occasion de la Journée européenne de la protection des données – une initiative promue par le Conseil de l’Europe avec le soutien de la Commission européenne– le Conseil de l’Europe et l’Agence des droits fondamentaux de l’UE ont publié un manuel sur le droit européen de la protection des données .La protection des données à caractère personnel est un droit fondamental des citoyens de l’UE et , avant d’être inscrite dans la charte des droits fondamentaux de l’UE a été inscrite dans la « Convention 108 », ou mieux la convention du Conseil de l´Europe « pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ».

Mais les citoyens européens -qui bénéficient déjà du niveau de protection plus important au monde- demandent à être davantage défendus. En effet, choquée par le scandale des écoutes américaines, aujourd’hui plus que jamais, l’opinion publique européenne réclame un contrôle sur le traitement des données. Qui aurait imaginé que en jouant à Angry Birds ou en utilisant une application notre position, notre adresse mail  ou nos contacts aurait pu être enregistrés par une obscure agence de renseignement ? Cependant, cela ne surprend pas quand on considère que la « Convention 108 » -le seul instrument juridiquement contraignant, et le plus ancien, sur la protection des données au niveau international- n’est en vigueur que dans 46 Pays dans le monde.

Ainsi, le scandale NSA a donné un nouvel élan au débat sur ce sujet, débat qui avait été ouvert avec la Directive 95/46/CE du 1995 sur la protection des données dans l’Union.

Adopté avec deux objectifs, celui de défendre le droit fondamental à la protection des données d’un côté et celui garantir la libre circulation des données à caractère personnel entre les États membres de l’autre, cette Directive a été complétée par la Décision-Cadre 2008/977/JAI, un instrument européen pour la protection de données dans les domaines de la coopération policière et de la coopération judiciaire en matière pénale.

Les règles de protection des données sont applicables non seulement lorsque le responsable du traitement des données est établi dans l’UE, mais également chaque fois que cet « utilisateur » utilise une installation situé sur le territoire de l’Union afin de traiter des données. En outre, chaque Etat membre a mis en place une autorité de surveillance qui conseille le gouvernement et prend des mesures juridiques quand les règles sur la protection des données sont violées.

 Avec sa proposition  du 25 janvier 2012, la Commission a voulu renforcer le cadre juridique européen, en mettant en place un Règlement qui tenait compte des nouveaux défis posés par Internet et qui éviterait une fragmentation de la mise en œuvre des lois sur la protection des données.

A côté de ce Règlement de l’UE, un accord spécial entre l’Union européenne et les Etats-Unis a été signé concernant le traitement des données personnelles aux États-Unis, le « Safe Harbor Agreement ». (Cf. Nea say n° 141) Cet accord prévoit que les entreprises situées aux  Etats-Unis peuvent traiter des données dans l’Union européenne que si elles respectent certains principes.

Ainsi, les individus doivent être informés si leurs données sont collectées, ils doivent avoir la possibilité de se retirer de la cession de la collecte ou la cession des données à des tiers et les transferts de données ne peuvent s’appliquer qu’à des organisations qui suivent des principes adéquats de protection. En outre, des efforts doivent être faits pour prévenir la perte des informations collectées, les données doivent être relevant au sens des finalités pour lequel elles sont recueillies et les individus doivent être en mesure d’accéder aux informations à leur sujet, les corriger ou les supprimer si elles sont inexactes.

Aujourd’hui, la discussion au Parlement européen est très vive. En effet la proposition de la Commission est débattue avec force, car les intérêts en jeu sont importants, notamment pour les grands entreprises du Net qui tirent leurs profits du traitement des données – Facebook, Google, Microsoft ou IBM. Et une véritable Grande Armada de lobbyistes a été instruite par ces géants d’Internet.

Le texte en discussion prévoit l’obligation pour les contrôleurs des données de fournir une information transparente et aisément accessible et compréhensible. Il obligerait le contrôleur de prévenir les individus concernés de leurs droits. En plus, la proposition précise que le contrôleur est obligé à fournir des informations aux sujets de données, y compris sur la période de stockage, le droit de déposer une plainte et les transferts internationaux. D’ailleurs, le contrôleur devra garantir aux personnes concernées le droit d’accéder à leurs données et le droit de rectification, le droit à l’oubli et à l’effacement.

Voilà donc les enjeux et s’en est suivie une vraie bataille de lobbying à Bruxelles.

D’un côté les fervents défenseurs d’une plus stricte régulation de l’utilisation des données personnelles, comme Jan Philipp Albrecht, député européen du Groupe des Verts/ALE et membre de la commission des libertés civiles du PE, qui est rapporteur pour le Règlement Général sur la protection des données. Le membre du Parlement a affirmé, suite au scandale NSA, que « des initiatives de réforme de la protection des données et l’accord-cadre avec les États-Unis doivent rapidement être approuvées ».

D’un autre côté les géants du Net, qui ont déployé des moyens considérables pour faire entendre leurs raisons auprès des décideurs politiques. Leurs raisons sont claires : en tant qu’entreprises  offrant un « service publique », ils doivent pouvoir employer les données de leurs utilisateurs à des fins commerciales. Puis, ils affirment que l’excessive technicité des législations communautaires est un empêchement pour le développement économique des entreprises. « Le nouveau cadre législatif devrait se concentrer sur l’échange de best practices entre les entreprises, plutôt que sur l’énonciation de règles techniques détaillées qui peuvent être frustrantes et coûteuses pour fournisseurs et utilisateurs ». En plus ils mettent en avant l’argument du choix personnel des utilisateurs pour blâmer la création de paramètres de confidentialité «par défaut». En fait, selon eux, chaque utilisateur devrait être en mesure de personnaliser ses propres paramètres sur les média sociaux  et  on devrait lui laisser un large spectre de possibilités de choix.

Cette confrontation  entre pour et contre la « Data Protection Regulation » a donné lieu à de drôles d’épisodes entre victimes  et instigateurs. Cependant, les nouvelles propositions européennes en matière de protection des données ont aussi allumé le débat dans l’opinion publique européenne. Les citoyens demandent une meilleure et plus accessible protection de leurs données personnelles et diverses initiatives ont été organisées pour débattre de cette problématique, comme la 7ème édition de la conférence  «Computers, Privacy & Data Protection », qui a eu lieu à Bruxelles du 22 au 24 janvier sur le thème de la réforme de la protection des données.

Comme le rappelle le Dicteur de l’Agence des droits fondamentaux de l’Union européenne,  Morten Kjaerum, « Aujourd’hui, il est trop facile de recueillir les données personnelles des citoyens européens. Il est maintenant temps de donner le pouvoir aux autorités de protection des données de freiner ces violations ».

Il est temps d’intervenir, donc. Ainsi, l’initiative du Conseil de l’Europe et de l’Agence des droits fondamentaux de l’Union européenne de publier un guide complet sur le droit du Conseil de l’Europe et de l’Union européenne consacré à la protection des données -en tenant compte de la jurisprudence de la Cour européenne des droits de l’homme et de la Cour de justice de l’Union européenne –  est juste et nécessaire.

Ce manuel, publié en anglais mais bientôt traduit dans d’autres langues de l’UE, veut constituer un repère pour les administrations nationales et les citoyens européens pour ceux qui regarde la protection des données. Il explique les grands principes et les règles de droit applicables au niveau européen ; il traite du flux de données transfrontaliers et de la protection des données dans le contexte policier et dans le cadre de la justice pénale ; et enfin il fournit une explication simple de la terminologie de la protection des données.

La Commission européenne a beaucoup travaillé pour promouvoir la Journée européenne de la protection des données. La Vice-Présidente Viviane Reding a tenu un discours en rappelant l’état de la discussion sur la « Data Protection Regulation » et en exprimant son souhait pour qu’un Règlement soit adopté au plus vite. Elle a aussi salué publiquement le discours du Président Obama sur l’examen des services de renseignement américains. (cf. article dans Nea say n° 141) tout en apportant par ailleurs de vigoureuses critiques au comportement américain sur un plan général. (cf.infra)

Les enjeux de cette régulation européenne sont importants, pour les Gouvernements comme pour chaque citoyen européen. On risque, comme le montre une vidéo ironique de la Commission, de nous retrouver nus face à nos ordinateurs. C’est pour cela qu’une réforme compréhensive et efficace de la protection des données personnelles doit être achevée au plus vite.

La Commission menace par la voix de Viviane Reding de suspendre l’accord bilatéral sur le transfert des données si Washington ne renforce pas ses normes de sécurité d’ici l’été. La commissaire européenne en charge de la justice, Viviane Reding, a profité de la journée de la protection des données, le 28 janvier, pour mettre en exergue les failles sur l’accord concernant le transfert des données entre l’UE et les États-Unis.

Avec son franc-parler habituel, elle a déclaré : « Nous avons vérifié les pneus et avons constaté que des réparations étaient nécessaires. Pour que la sphère de sécurité soit en état de rouler, les États-Unis devront les réparer. Washington est priée d’effectuer des réparations d’ici l’été prochain, sinon l’accord bilatéral sur l’accès aux données, appelé « sphère de sécurité »(« Safe Harbour »), sera suspendu, a-t-elle déclaré lors d’un discours au groupe de réflexion CEPS à Bruxelles.(Sur le safe Harbour cf. article dans Nea say N° 141) L’évaluation du respect des principes de sphère de sécurité se fonde sur le principe d’« autocertification ». En d’autres termes, les entreprises ont la seule responsabilité de déclarer si leurs services respectent les normes. Rappelons, une fois de plus que cette « sphère de sécurité, » donne la possibilité aux  entreprises américaines (dont les Google, Facebook,  Microsoft, Amazone  entre autre) de transférer des données à caractère personnel de citoyens de l’UE vers les États-Unis. Ces transferts constituent le cœur des activités et des modèles économiques de nombreux géants de l’informatique. Les inquiétudes européennes, grandes depuis plusieurs années, ont été exacerbées par les révélations de Edgard Snowden . Qui sera prochainement entendu par le Parlement européen.

En novembre dernier, Viviane Reding a publié une liste de 13 recommandations en vue de renforcer le fonctionnement de la sphère de sécurité. La vice-présidente de la Commission européenne  a par exemple demandé de « publier les conditions de protection de la vie privée figurant dans tout contrat conclu entre elles et leurs sous-traitants », dont les services d’informatique en nuage (« cloud »). Elle a ajouté que « les politiques de protection de la vie privée […] doivent comporter des informations sur la façon dont  la législation des États-Unis permet aux autorités publiques de collecter et de traiter des données transférées au titre de la sphère de sécurité ». Elle souhaite également des preuves de la mise en œuvre réelle des principes du système. Elle a dès lors demandé qu’une partie d’entre elles soient « soumises à des enquêtes d’office concernant le respect effectif de leurs dispositions de protection de la vie privée ». « Chaque fois qu’un manquement est constaté, à la suite d’une plainte ou d’une enquête, l’entreprise concernée devrait, après un an, faire l’objet d’une enquête de suivi spécifique. », a-t-elle conclu. Ses propos ont été repris et relayés, par exemple par Manfred Weber, député et vice-président du PPE en vue au Parlement européen : «  Il existe une marge de manœuvre importante pour améliorer l’accord sur la sphère de sécurité. Si des mesures ne sont pas prises rapidement, l’UE devra suspendre l’accord », explique Manfred Weber, vice-président du Parti populaire européen au Parlement européen. « Nous devons continuer à œuvrer vers une protection de l’ État de droit et du droit fondamental sur le respect de la vie privée des citoyens européens et  collaborer avec nos partenaires américains en vue de garantir le respect et le maintien de ces droits », a déclaré l’eurodéputé Claude Moraes (Socialistes & démocrates), rapporteur de la commission d’enquête «  la surveillance de masse » des citoyens européens. Son rapport est sur le point d’être adopté (cf. autres articles dans Nea say). « Les révélations d’Edward Snowden de ces sept derniers mois ont mis en évidence le besoin criant de restaurer la confiance entre l’UE et les États-Unis et de renforcer nos partenariats transatlantiques. […]La Commission européenne doit conclure les négociations en cours sur le transfert des données dans le cadre de l’accord transatlantique pour que les États-Unis l’intègre dans leur législation, ce qui permettra enfin aux citoyens européens d’intenter un recours juridictionnel », a-t-il ajouté. Les révélations de Snowden ont provoqué une lourde colère, notamment parce que ces allégations venaient  confirmer leurs craintes, des craintes exprimées de longue date. Ces révélations montrent également la nécessité de règlements plus stricts alors que l’UE et les États-Unis viennent de lancer des négociations commerciales. Les deux dossiers sont désormais inextricablement liés.

Et la démocratie dans tout cela s’inquiète le Conseil de l’Europe. L’Assemblée parlementaire du Conseil de l’Europe (APCE) est inquiète : elle  réclame un Livre blanc sur « l’ Internet et la Démocratie ».

Internet, la  politique, la  démocratie, vastes  sujets, complexes aussi,  et devant cette complexité, la commission de la culture, de la science et de l’éducation du Conseil de l’Europe a refusé de baisser les bras. Outil fabuleux mais qui apporte avec lui le pire, en termes d’atteintes aux droits fondamentaux, d’aides au terrorisme, de manipulations politiques. Dilemme redoutable signale la rapporteure  libérale, Anne Brasseur, et désormais présidente de l’APCE. « On nous a alertés sur le fait qu’intervenir en essayant de brider les libertés sur le web pour sauvegarder ces mêmes libertés est plus dangereux que laisser le système voire la communauté des internautes, trouver dans son propre fonctionnement les correctifs nécessaires pour parer aux divers dangers. Nous avons aussi entendu que les divers mécanismes de contrôle des flux d’informations et de contenus  sur le web son non seulement liberticides, mais vraisemblablement inefficaces pour arrêter ceux qui sont réellement dangereux. En quelque sorte nous serions confrontés à une alternative peu réjouissante : soit tuer internet, soit abandonner toute velléité de la maîtriser et laisser faire. Je ne peux m’y résigner ».

Et Anne Brasseur de poursuivre : « L’internet ne doit pas devenir une machine tentaculaire fonctionnant hors de tout contrôle démocratique, une zone de non-droit, dominée par des pouvoirs cachés où aucune responsabilité ne pourrait être clairement attribuée »(…) Les récentes révélations sur les opérations des services secrets qui dépassent tout cadre légal en ordonnant des intrusions systématiques dans la vie privée, doivent nous amener à réfléchir sur le prix que nous payons pour notre sécurité et sur les précautions que nous devons prendre pour éviter d’annihiler l’espace de liberté de l’internet », a mis en garde Mme Brasseur.

 « Les Etats doivent prendre des mesures concertées et adopter des règles communes pour sauvegarder l’internet comme espace de liberté, et ce partout dans le monde et tout particulièrement là où la démocratie est affaiblie, en danger, voire abolie, tout en évitant que les mécanismes de surveillance eux-mêmes mettent en danger les libertés fondamentales », a-t-elle souligné.

 « S’il paraît impossible de remplacer la représentation politique issue du suffrage universel par un quelconque modèle fondé essentiellement sur des processus de démocratie directe par voie électronique, le débat sur la démocratie et le renouveau possible du système de représentation démocratique à l’ère de l’internet est très important, et ce aussi bien au niveau national qu’au niveau européen », a conclu Mme Brasseur.

Adoptant son rapport à la quasi  l’unanimité, (108 voix pou, contre 3 et 7 abstentions) la commission recommande la rédaction d’un livre blanc du Conseil de l’Europe sur ‘La démocratie, la politique et l’internet’, afin de permettre de construire un environnement propice au développement de l’internet selon une vision européenne commune basée sur la protection des droits fondamentaux et la protection de la vie privée. Le sujet correspond pleinement aux raisons d’être du Conseil de l’Europe : la démocratie et les droits de l’homme.

L’APCE insiste dans son texte, sur l’impact majeur d’Internet sur les relations entre partis , élus et citoyens ainsi que sur la manière de concevoir la participation à la vie politique des individus et des groupes sociaux. Oui à plus de démocratie participative, proclame l’APCE, bien que, nuance-t-elle, il ne semble pas encore possible « dans le monde complexe d’aujourd’hui » de remplacer le suffrage universel par un modèle fondé sur le vote électronique généralisé. La recommandation insiste par ailleurs sur la dimension européenne que doit prendre  la réflexion sur Internet afin de construire un environnement basé sur des valeurs communes garantissant les droits fondamentaux et la vie privée. Dans le processus de rédaction du Livre blanc, l’APCE souhaite se voir associée, de même que tous les parlements nationaux et les gouvernements des Etas membres, les forces politiques(voire même si cela est possible)les services secrets. Grands opérateurs d’internet, médias, universités, ONG de défense des droits de l’homme et association de défense des droits des internautes devraient également être parties prenantes du projet. Pour l’APCE, l’Union européenne devrait également être associée à la rédaction du Livre blanc.

Et maintenant ? est engagée une course de vitesse pour les uns…de lenteur pour les autres

Incontestablement Viviane  Reding est engagée dans la course de vitesse et mobilise toutes ses ressources pour contourner les lenteurs et hésitations des Etats membres et les pauses électorales (élections du Parlement européen, renouvellement de la Commission européenne). Elle maintient son objectif de boucler son dossier (un règlement général sur la protection des données personnelles et une directive sur  le transfert des données dans le cadre policier et judiciaire). Volonté tactique et ne se faisant aucune illusion elle souhaite maintenant que le Conseil parvienne en mars à une approche générale partielle  sur certains chapitres (chapitre 1 à 7 comprenant le fameux « one-stop-shop » ou guichet unique, dispositif très fortement contesté par les ministres du Conseil) puis à une approche générale en juin sur tous les aspects de la réforme, directive comprise, qui posent des questions très sensibles comme celles des fichiers policiers, secteur qui n’a pas été réellement examiné jusqu’à maintenant. En juillet pourrait s’engager le trilogue avec le Parlement qui se serait prononcé avant sa trêve. Autre problème redoutable, le chapitre 5 : il porte sur les transferts internationaux. Il prévoit plusieurs possibilités : entre des transferts aux pays tiers, c’est-à-dire une décision prise par la Commission quand elle a la certitude que le pays en question respecte les normes et standards en vigueur, une décision qu’elle peut révoquer si les normes du pays évoluent, perdent de leur pertinence, s’affaiblissent, d’autre part peuvent exister d’autres types de transferts lors de l’élaboration, par exemple, de règles obligatoires pour les entreprises, via des clauses contractuelles. Au seul énoncé de cet article 5 on s’aperçoit que c’est un foyer  de contamination naturelle pour des contestations multiples.

Au bout du compte, sommes- nous en présence d’un calendrier réaliste ? Toute la question est là ! Un commencement de réponse sera peut-être donné le 12 février prochain : la Commission examinera un projet de communication consacré à la gouvernance de l’Internet dont l’importance stratégique n’est pas à souligner.

 Elena   Brolis

Pour en savoir plus :

      – . Site de l’Agence des droits fondamentaux de l’Union européenne : http://fra.europa.eu/en

      -. Proposition de la Commission européenne du 25 janvier 2012 : http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexplus!prod!DocNumber&lg=EN&type_doc=COMfinal&an_doc=2012&nu_doc=11

      -. Observatoire législatif du Parlement européen : http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2012/0011(COD)&l=FR

      -. Discours de la Vice-Présidente Viviane Reding : http://europa.eu/rapid/press-release_SPEECH-14-62_en.htm?locale=FR

      -. Vidéo sur le canal YouTube de la DG JUST :  https://www.youtube.com/user/EUJustice?feature=watch

      -. Site de la 7 ème édition de la conférence « Computers, Privacy & Data Protection » http://www.cpdpconferences.org/index.html

      -. Projet de Résolution et de Recommandation de l’Assemblée parlementaire du Conseil de l’Europe (APCE) http://assembly.coe.int/nw/xml/News/News-View-FR.asp?newsid=4793&lang=1&cat=21(EN) http://website-pace.net/documents/10643/165767/20131205_InternetandpoliticsE.pdf/0f6693f4-04d9-47b5-90e7-1446718c3572

      -.Dossier des données personnelles de Nea say http://www.eu-logos.org/eu-logos_nea-say.php?idr=4&idnl=3054&nea=140&lang=fra&arch=0&term=0

      -.Speech Cecilia Malmström : Rebooting Trust ?Freedom v. Security in Cyberspace http://europa.eu/rapid/press-release_SPEECH-14-87_en.htm?locale=en

      -. Contrôleur européen des données : un contrôle efficace pour garder les institutions européennes sur la voie de la protection des données http://europa.eu/rapid/press-release_EDPS-14-3_fr.htm?locale=en

 

 

 

 

 

 

 

 

 

 

 

Adeline Silva Pereira

Après avoir effectué la deuxième année du master Sécurité Globale analyste politique trilingue à l'Université de Bordeaux, j'effectue un stage au sein d'EU Logos afin de pouvoir mettre en pratique mes compétences d'analyste concernant l'actualité européenne sur la défense, la sécurité et plus largement la coopération judiciaire et policière.

Laisser un commentaire