La nouvelle directive européenne pour la protection des données personnelles sera un règlement ou ne sera pas !

Introduction

Après plus de quinze années de services, la "Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données" (ci-après la Directive) a vieilli. Son environnement sociétal, économique et, surtout, technologique a très fortement changé : généralisation des technologies de l'information et de la communication (TIC) -- internet, téléphonie mobile, etc. --, essor de la géolocalisation, banalisation de la biométrie et de la vidéosurveillance, mondialisation des échanges, etc. Tandis que sa transposition dans les 27 États membres et la mise en œuvre des textes nationaux correspondants ont fait apparaitre des disparités parfois importantes -- aucunes des lois issues des transpositions nationales de la Directive ne sont complètement équivalentes -- et des lourdeurs administratives. Autant d'éléments qui ont conduit la Commission européenne (la Commission), et plus particulièrement la Direction générale "Justice, droits fondamentaux et citoyenneté" (DG Justice) dirigée par la Vice-présidente Viviane Reding, à démarrer un processus de révision.

Pour mémoire, la Directive définit le cadre juridique de la protection des données à caractère personnel (DCP) de l'Union Européenne (UE). Ce texte fondateur a tiré profit de l'expérience acquise avec ses prédécesseurs nationaux ou internationaux et est devenu une référence pour de nombreux pays étrangers. En énonçant des principes généraux indépendants de la technologie, cette directive a tenté d'établir un équilibre entre la protection des libertés individuelles et les nécessités des échanges communautaires à l'origine, il faut s'en souvenir, de la création de l'UE. Le premier article l'énonce sans ambiguïté :

Article premier : Objet de la directive

1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel.

2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1.

Le processus de révision

Tous les textes européens sont soumis à une évaluation régulière pour mesurer leur pertinence et éviter leur obsolescence, et la directive 95/46/CE n'y fait pas exception comme l'indique l'avant-dernier article :

Article 33

Périodiquement, et pour la première fois au plus tard trois ans après la date prévue à l'article 32 paragraphe 1, la Commission fait un rapport au Parlement européen et au Conseil sur l'application de la présente directive et l'assortit, le cas échéant, des propositions de modification appropriées. Ce rapport est publié.

La Commission examine, en particulier, l'application de la présente directive aux traitements de données constituées par des sons et des images, relatives aux personnes physiques, et elle présente les propositions appropriées qui pourraient s'avérer nécessaires en tenant compte des développements de la technologie de l'information et à la lumière de l'état des travaux sur la société de l'information.1

Le processus de révision de la Directive a commencé dès mai 2009. Il a comporté deux périodes de consultation publique, de juillet à décembre 2009 et de novembre 2010 à janvier 2011. Celles-ci ont respectivement fait remonter 168 et 305 réponses. Elles ont été complétées par de nombreuses consultations ciblées avec des parties prenantes, associations pour la protection des données, entreprises, autorités de protection des données, etc. En parallèle, des enquêtes et des études ont aussi été conduites pour identifier le plus précisément possible les attentes des citoyens européens, ainsi que les forces et les faiblesses de la Directive.

Parmi les objectifs de la révision, avancés par la Commission dès 2009, il faut citer :

  • établir un cadre juridique global pour s'adapter à la fusion des piliers avec le Traité de Lisbonne (notamment pour le secteur police-justice),
  • réduire les divergences entre Etats membres dans la mise en œuvre de la Directive ;
  • clarifier l'application de certaines règles et principes clés ;
  • ajouter de nouveaux principes ;
  • moderniser certaines pratiques ;
  • limiter certaines contraintes bureaucratiques ;
  • encadrer de façon plus efficace les transferts internationaux de données personnelles ;

Cette étape aurait dû se conclure fin novembre 2010 avec la publication d'une première proposition de révision, comme l'avait initialement annoncé Viviane Reding en janvier de la même année. Compte tenu de l'ampleur de la tâche, ce calendrier a été revu et la proposition repoussée à l'été puis à fin novembre 2011. Hélas, l'année 2011 n'a rien vu venir et une annonce est maintenant attendue autour du 28 janvier 2012.

Dans l'intervalle, fait pas totalement inhabituel, un document de travail contenant un projet de texte a fuité début décembre 2011 et a été publié sur le site Statewatch. "Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)" est, dans sa version 56 du 29 novembre 2011, un document de 116 pages qui résume le processus de révision ainsi que ses motivations et contient le brouillon d'une proposition de règlement pour la protection des données à caractère personnel en remplacement de l'actuelle directive, pas moins !

L'authenticité du document a été confirmée par la Commission comme le souligne le site anglais The Register. Cependant, ce document reste officieux. C'est une version de travail soumise aux commentaires des différents services concernés de la Commission. Il pourra donc subir de substantielles modifications d'ici fin janvier 2012.

Première analyse

Ce qui saute aux yeux dès la première lecture, c'est le titre même du document : "Proposal for a regulation ..." (Proposition pour un règlement...). En effet, dans la hiérarchie des normes européennes, le "règlement" est au-dessus de la "directive" comme le précise l’article 288 du Traité sur le Fonctionnement de l’Union Européenne (TFUE) "Le règlement a une portée générale. Il est obligatoire dans tous ses éléments et il est directement applicable dans tout État membre. La directive lie tout État membre destinataire quant au résultat à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens". La Commission justifie le choix d'un règlement en remplacement d'une directive, en invoquant le principe de subsidiarité qui permet à la "Communauté d'agir, lorsque les mesures prises isolément par les États membres ne permettent pas d'apporter une solution suffisante". Autrement dit, ce choix porte implicitement un constat d'échec de la Directive quant à harmoniser la protection des DCP dans les pays membres de l'UE. Et de fait, c'est l'un des principaux reproches à l'encontre de cette directive. Des transpositions en droit national des États membres tellement disparates, des obligations et des formalités parfois si différentes que les acteurs sont unanimes pour dénoncer des effets contreproductifs quant à la fluidification des échanges à l'intérieur même de l'UE.

Le deuxième constat immédiat est la longueur du texte, 72 considérants, 34 articles répartis en sept chapitres, pour la Directive, 118 considérants, 91 articles répartis en 11 chapitres pour la proposition de règlement. C'est donc un texte conséquent (78 pages) qui va bien au-delà d'une simple mise à jour !

Depuis l'entrée en vigueur du Traité de Lisbonne, le 1er décembre 2009, la protection des données à caractère personnel fait partie des valeurs fondamentales défendues par l'Europe. Le droit de la protection des DCP
est inscrit dans l'article 16 du TFUE ainsi que dans l'article 8 de la Charte des droits fondamentaux de l'Union européenne et ces deux articles commencent de la même façon :

"Toute personne a droit à la protection des données à caractère personnel la concernant."

Sans aucun doute, cette proposition de règlement s'inscrit dans cette dynamique et apparaît très ambitieuse pour rester, à l'instar de la Directive, un exemple à suivre pour le reste du monde.

Le texte est trop dense pour une analyse détaillée de chaque article, cependant en voici quelques éléments saillants. Par ailleurs, le texte est en anglais, par conséquent, les analyses qui suivent sont uniquement basées sur les traductions et les interprétations de l'auteur qui en assume, seul, la responsabilité.

Éléments saillants

  • Un champ d'application étendu au-delà des frontières européennes

L'article 2 - Scope étend le champ du règlement à tout traitement visant un citoyen de l'UE, que le responsable du traitement ou le traitement soit ou non établi sur le sol européen. C'est une nouveauté qui de facto abolit la notion de frontières géographiques dès lors qu'il s'agit de flux de données. C'est une prise en compte explicite des échanges via internet et de l'utilisation de services basés à l'étranger, comme des réseaux sociaux, des moteurs de recherche, etc. qui en cas de litiges se retranchent derrière des juridictions nationales parfois très laxistes.

  • Des définitions élargies

L'article 3 - Definitions renforce d'une façon générale les définitions de la Directive. La "Personne concernée" (data subject) devient quelqu'un d'identifiable y compris en utilisant des "données géographiques" ou un "identifiant de connexion". Ce qui fait explicitement rentrer dans le champ du règlement "l'adresse IP", des "coordonnées GPS", "l'adresse MAC"2 d'un équipement, etc. De nouvelles définitions apparaissent comme : personnal data breach (défaillance dans les obligations de sécurité et de protection des DCP), genetic data (données génétiques), biometric data (données biométriques), data concerning health (données concernant la santé), etc.

Il faut aussi noter que la notion de child (enfant) est explicitement définie car des dispositions particulières apparaissent tout au long du règlement lorsque des enfants peuvent être concernés.

  • Des "grands" principes renforcés et étendus

L'article 4 - Principles relating to personal data processing énonce en 1(c) un principe de "minimisation" des données collectées. Il introduit en 1(f) un principe de "responsabilité" du Responsable de traitement. Les sept principes nouvellement (re)définis reprennent ceux de la Directive et utilisent aussi les apports des Fair Information Principles (FIP) largement utilisés dans de nombreux textes internationaux comme celui de l'Organisation de coopération et de développement économiques (OCDE).

  • Les droits des personnes concernées sont complétés

L'article 15 - Right to be forgotten and to erasure introduit une nouvelle vision du droit à l'oubli : la non-dissémination des DCP d'une Personne concernée qui pourra, en cas de dissémination publique, demander au Responsable de traitement une suppression des informations concernées ainsi que des copies et des liens pointant vers ces informations accessibles depuis tout moteur de recherche.

L'article 16 - Right to data portability introduit un droit à la portabilité des données qui doit permettre à la Personne concernée de pouvoir disposer de ses données dans un format qui permette leur réutilisation sans que le Responsable de traitement ne puisse s'y opposer. Cette disposition rend implicitement la propriété de ses données personnelles à l'utilisateur qui ne doit plus être prisonnier de systèmes propriétaires.

  • La protection des données à caractère personnel par conception et par défaut devient un pré-requis

L'article 20 - Data protection by design and by default fait rentrer le concept de Privacy by Design (PbD) dans les obligations du Responsable de traitement qui doit dès la conception d'un traitement inclure les mesures techniques et organisationnelles nécessaires à la protection des DCP traitées et, également, mettre à jour et adapter ces mesures tout au long de l'existence du traitement.

  • La notification des failles de sécurité devient obligatoire dans un délai de 24h

L'Article 28 - Notification of a personal data breach to the supervisory authority dispose qu'en cas d'une "défaillance dans les obligations de sécurité et de protection" des DCP, le Responsable de traitement doit en informer l'Autorité de contrôle nationale -- en France, il s'agit de la CNIL --sans délai et d'une façon générale pas au-delà de 24 h après la découverte de la défaillance. Si cette défaillance est susceptible d'affecter les personnes concernées, alors l'article 29 - Communication of a personal data breach to the data subject dispose que le Responsable de traitement doit aussi en informer les personnes concernées dans le même délai maximum de 24 h.

  • L'étude d'impact "persiste et signe"

L'article 30 - Data protection impact assessment fait entrer la réalisation d'étude d'impact que d'autres législations ont désigné par Privacy Impact Assessment (PIA) dans les obligations du Responsable de traitement lorsque les traitements concernés sont susceptibles de faire naître des risques particuliers pour les droits et les libertés des personnes concernées. Parmi ces traitements à risque figurent : les traitements de données sensibles, la surveillance des espaces publics et des traitements utilisés pour faire du profilage automatique comme décrit dans l'article 18.1. Comme son équivalent dans le domaine environnemental, cette étude d'impact doit comporter une phase de consultation des parties prenantes et le résultat doit être rendu public. L'étude d'impact devient un des éléments à transmettre dans le cadre d'une demande d'autorisation préalable comme définit à l'article 31 - Prior authorisation and prior consultation. L'étude d'impact était apparue officiellement en Europe en mai 2009, dans le cadre d'une recommandation concernant la mise place de systèmes utilisant la technologie RFID.

  • Le "Correspondant Informatique et Libertés" devient obligatoire et la fonction est renforcée

L'article 32 - Designation of the data protection officer confirme la fonction de data protection officer introduite par la Directive et traduite en français par "Correspondant Informatique et Libertés" (CIL). Le CIL devient obligatoire dans trois cas : pour les organismes publics et les administrations, pour les organismes privés de plus de 250 personnes et pour tout organisme dont l'activité principale consiste ou implique une surveillance des personnes concernées. La désignation d'un CIL doit se faire sur la base de ses compétences concernant la protection des DCP.

  • Les transmissions d'informations dans le cadre de procédures de "discovery" devront recevoir une autorisation préalable

L'article 42 - Disclosures not authorized by Union law dispose que toutes les demandes de transmission d'informations à des pays tiers -- c'est-à-dire non membres de l'UE -- dans le cadre de procédures judiciaires de type discovery3 ou autres seront soumises à l'autorisation préalable de l'Autorité de contrôle nationale.

  • Les Autorités de contrôle pourront ester en justice

L'Article 52 - Powers renforce très fortement les pouvoirs des Autorités de contrôle, en particulier, les contrôles pourront se faire sans autorisation judiciaire préalable et les autorités pourront ester en justice en cas de violation du règlement dont elles sont les garantes.

  • Le groupe de l'article 29 disparaît

L'Article 63 - European Data Protection Board remplace de facto le groupe que l'article 29 de la Directive a créé. Ce nouveau groupe composé notamment des directeurs des Autorités de contrôle des États membres voit son rôle consolidé.

  • Les sanctions deviennent "dissuasives"

L'article 79 - Administrative sanctions précise le montant des sanctions pécuniaires que pourront infliger les Autorités de contrôle. Plusieurs niveaux sont envisagés en fonction de la nature de l'infraction. Pour chacun d'eux, des sommes maximum sont prévues mais dans le cas des entreprises la limite est calculée en fonction d'un pourcentage du chiffre d'affaires. Dans le pire des cas, par exemple un traitement illicite les pénalités peuvent aller jusqu'à un million d'euros (1 000 000) ou 5% du chiffre d'affaires de l'entreprise.

  • Les pouvoirs de la Commission européenne sont renforcés

L'article 86 Exercise of the delegation dispose que la Commission a la possibilité de compléter, préciser certaines dispositions non-fondamentales du règlement pour en faciliter/améliorer l'application. Ceci concerne principalement des aspects techniques, des bonnes pratiques voire la normalisation de certaines procédures. 27 articles sur 91 sont concernés par cette disposition, ce qui de facto renforce le pouvoir de la Commission au détriment de celui des États membres.

Conclusion

Comme indiqué dès l'introduction, la version finale de cette proposition de règlement n'est pas attendue avant fin janvier 2012. Et d'ici là des modifications, peut-être substantielles, y auront été apportées. Cependant en l'état, elle confirme de nombreuses rumeurs ainsi que la volonté de la Commission Européenne de niveler par le haut la protection des données à caractère personnel à travers l'Europe. Et cette protection doit même pouvoir s'exercer au-delà de ses frontières, dès lors qu'un citoyen de l'UE est concerné. C'est une nouveauté qui entend prendre en compte la mondialisation des échanges d'informations et l'inadéquation de la notion de frontières géographiques à propos des flux de données. Ce texte vise aussi à établir un nouveau rapport de force avec des juridictions étrangères et les États-Unis, avec leurs lois sécuritaires souvent trop intrusives et liberticides, sont bien sûr dans le collimateur de l'UE qui saisi ainsi l'opportunité de se doter d'un instrument juridique permettant une meilleure protection de ses citoyens et aussi de riposter le cas échéant.

Le texte qui a fuité est très dense et contient beaucoup de nouveautés parfois radicales, et à l'évidence, la route sera longue avant son éventuelle adoption par le Parlement européen et le Conseil. Certains observateurs avancent un délai de deux ans minimum quand d'autres ne cachent pas leur hostilité et estiment qu'il n'a aucune chance de passer. D'autant plus qu'avec l'échéance électorale européenne de juin 2014, le temps est compté.

Quoi qu'il en soit, ce texte est le fruit d'un long travail et le reflet d'une volonté d'améliorer la protection des données à caractère personnel dans l'Union Européenne et, n'en doutons pas, au-delà par effet ricochet. Ce renforcement des droits de la Personne concernée a cependant une contrepartie de taille : une augmentation significative des obligations du Responsable de traitement. Et il n'est par sûr que cela fasse l'unanimité. Car s'il y gagne une harmonisation à l'échelle européenne et la disparation de la déclaration comme principe de base, ses responsabilités augmentent lourdement et les sanctions prévues, en cas de manquement, ne font plus rire !

Cet article n'est qu'une première analyse et celle-ci va se poursuivre alors n'héstez pas à nous transmettre vos commentaires.


Ressources

"A quick review of the draft EU Data Protection Regulation" Privacy International ; 8 décembre 2011, https://www.privacyinternational.org/article/quick-review-draft-eu-data-...

"EU Considers Changes to Data Privacy Legislation" Peter Blenkinsop, Tore DeBella ; Drinker Biddle ; décembre 2011, http://www.drinkerbiddle.com/publications/Detail.aspx?pub=3164

  • 1. Voir le rapport de 2003 et celui de 2007.
  • 2. L'adresse MAC d'un équipement peut par exemple être utilisée pour la construction dynamique des nouvelles adresses IP au format IPV6 ce qui a soulevé quelques inquiétudes quant à la protection de la vie privée.
  • 3. D'après le rapport d'activité de la CNIL page 57, le discovery est le "[n]om donné à la procédure américaine permettant, dans le cadre de la recherche de preuves pouvant être utilisées dans un procès, de demander à une partie tous les éléments d’information (faits, actes, documents...) pertinents pour le règlement du litige dont elle dispose, quand bien même ces éléments lui seraient défavorables."