Les négociateurs y ont confirmé leur intention de parvenir à un consensus d’ici à la fin de l’année 2015, pour une application dès début 2016, et ont d’ailleurs établi une feuille de route pour y parvenir. Si leurs positions convergent en de nombreux points, certaines divergences doivent encore être réglées. Toutefois, les parties aux négociations se disent confiantes.
Le prochain trilogue doit avoir lieu avant la pause estivale du Parlement. Il s’agit d’un élément clé pour le développement du marché unique numérique, l’innovation et les entreprises.
Lors de la conférence de presse ayant suivi la réunion du 24 juin dernier, le ministre luxembourgeois de la Justice, Félix Braz, a relevé que de nombreuses opportunités pour les entreprises étaient « plus liées qu’on ne le croit à un niveau de protection élevé des données personnelles ». « Seul un haut niveau de protection peut donner les garanties nécessaires pour que les citoyens fassent confiance aux entreprises et donc permettent leur développement ».
La Commission européenne a publié, le 24 juin, un nouvel eurobaromètre en matière de protection des données personnelles, dont les résultats révèlent une confiance encore faible envers l’environnement digital. Le ministre ne voit d’ailleurs pas d’antagonisme entre les deux éléments « même si il reste des choses à régler ».
Jan Philipp Albrecht (Verts/ALE), rapporteur du dossier, a rappelé que toutes les parties s’étaient accordées pour dire que le niveau de protection de la directive de 1995 devait être garanti. « L’idée des partenaires de négociation est de parvenir à un plus haut niveau à partir de la directive de 1995 », a-t-il indiqué.
Les négociations nécessiteront ainsi un examen article par article des textes proposés. L’eurodéputé a également insisté pour que les normes du texte soient respectées dès qu’une entreprise d’un pays tiers s’implante sur le marché européen et pour que ces règles couvrent aussi les transferts internationaux de données. « En tant qu’UE nous pouvons encourager d’autres pays à utiliser les mêmes règles que nous ».
Pour rappel, le projet de règlement imposera entre autres de nouvelles obligations aux prestataires de services, et les responsables de traitement devront renforcer l’encadrement contractuel de leurs relations avec ces derniers.
Pour ce qui est des sanctions à imposer aux entreprises qui ne respecteraient pas les règles de protection des données, le rapporteur a rappelé les divergences qui subsistent entre les institutions. Si le Parlement souhaite infliger des amendes pouvant aller jusqu’à 100 millions d’euros ou 5% du chiffre d’affaires (pour se rapprocher de la législation sur la concurrence qui prévoit des amendes allant jusqu’à 10% du chiffre d’affaires), la Commission et le Conseil ont parlé de sanctions à hauteur d’1M d’euros ou de 2% du chiffre d’affaires.
Des sanctions qui ne seraient appliquées que dans des cas exceptionnels, les trois institutions sont d’accord pour une application de sanctions au cas par cas, suivant des critères objectifs. « Il y a encore une place pour le compromis », a indiqué le rapporteur.
Parmi les autres dispositions majeures mais controversées, les négociateurs devront s’accorder sur l’instauration d’un guichet unique et le principe de finalité des traitements, dont la version du Conseil est considérée comme plus libérale (il est notamment prévu dans l’approche générale du 15 juin du Conseil de l’UE qu’un « intérêt légitime » du responsable de traitement puisse justifier une autre utilisation des données des individus).