Depuis la publication le 25 janvier 2012 du projet de règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données par la Commission européenne, celui-ci a été abondamment commenté. Le projet de la Commission étant relativement défavorable aux entreprises du numérique, il était certain qu’une valse d’amendements allait s’ouvrir.

Le projet de rapport pour avis de la commission Industrie, Recherche et Energie (ITRE), rédigé par Sean Kelly (PPE, Irlande), a été publié le 8 novembre dernier [1]. Ce rapport contient 164 amendements à la proposition de règlement de la Commission européenne.

Avant toute chose, il faut préciser qu’il s’agit d’un projet de rapport pour avis, et qu’il est susceptible d’évoluer avant la version finale du rapport.

Les propositions d’amendements de Sean Kelly affaiblissent considérablement la proposition de la Commission européenne. Le rapport est clairement favorable aux entreprises, et affaiblit particulièrement les droits et la protection des citoyens. La motivation initiale de la Commission européenne était de proposer un texte protégeant plus les citoyens que la directive 95/46/CE actuelle, jugée dépassée. Mais les amendements proposés tendent vers un texte en nette régression par rapport à cette directive !

La majorité des amendements proposés sont donc problématiques.

• L’affaiblissement du principe de consentement :

Une des principales innovations du texte de la Commission était le très net renforcement de l’exigence du consentement préalable des personnes concernées. Plus de consentement présumé, celui-ci devait dorénavant être exprès et spécifique au traitement en question.
Le projet de rapport pour avis prend le contre-pied exact de ce positionnement. L’exigence du consentement ne devient qu’un motif de traitement comme les autres, voir même disparaît au profit de la poursuite des intérêts légitimes des entreprises ou de tiers. Or, il ne faut pas être devin pour comprendre quels sont les intérêts légitimes de Google ou Facebook.
De même, la spécificité du consentement disparaît, au profit d’un consentement « large » englobant toute une catégorie de traitements. Passons aussi sur la charge de la preuve d’absence de consentement, qui incomberait au consommateur. Mieux encore, il serait impossible de retirer son consentement à figurer dans des fichiers informatisés pour la durée de la relation contractuelle avec le responsable de traitement.

• Le profilage remanié :

Le profilage consiste à classifier automatiquement les personnes en fonction d’une série de critères, puis à prendre une décision les affectant en fonction de cette classification [2].
La loi actuelle permet aux personnes de connaître le cheminement qui a aboutit à leur classification. Cette exigence est visiblement trop lourde, puisque le projet de rapport pour avis propose tout simplement de la supprimer en matière commerciale.

• Le retour d’ACTA [3] :

ACTA était une proposition de traité international, rejetée par le Parlement Européen cet été, visant à transférer la lutte contre les atteintes à la propriété intellectuelle aux sociétés privées, sans garde-fous judiciaires.
L’amendement 71 propose de légitimer toutes les actions de surveillance des réseaux de communication. Un label de musique serait autorisé à espionner vos communications téléphoniques pour être certain que vous ne partagiez pas une œuvre musicale dont il a la charge. Effrayant !
Diminution des informations à fournir à la personne concernée :
retrait de l’obligation d’indiquer la période pendant laquelle les données sont concernées
retrait de l’obligation de donner les coordonnées de l’autorité de contrôle

• Diminution des droits :

Les droits à l’oubli numérique, à l’effacement des données et à la portabilité des données sont vidés de leur substance : si leur mise en oeuvre entraîne trop de difficultés techniques (non définies), il n’est pas obligatoire de les appliquer.
Obligations documentaires réduites :
La documentation à conserver par le contrôleur et le responsable du traitement est allégée : il n’y a plus d’obligation de conserver l’ensemble des opérations de traitement, mais seulement les mesures et politiques mises en place en vue de prouver que le traitement est conforme aux responsabilités du contrôleur. Le contenu décrit dans les amendements est particulièrement flou.

• Plus besoin d’informer les consommateurs en cas de piratage :

Une autre proposition emblématique du projet de la Commission était l’extension généralisée [4] de l’obligation d’informer les consommateurs en cas de piratage informatique, afin que ceux-ci puissent prendre les mesures nécessaires pour en limiter les effets « désagréables ».
Cette obligation ne concernerait plus que certaines catégories de données, celles dont la divulgation menacent sérieusement les intérêts de la personne concernée. La divulgation du numéro de carte bancaire menace sérieusement les intérêts d’une personne ? La divulgation de son état cancéreux ? La réservation d’une pension pendant trois semaines en été pour toute la famille ?
La divulgation de toutes ces informations peut menacer sérieusement les intérêts de la personne concernée, suivant le contexte. Le critère proposé est beaucoup trop flou pour être applicable juridiquement.

• La suppression du système d’autorisation préalable :

S’il est avéré que les autorisations mettent trop de temps à être obtenues [5], la faute en incombe plus au manque de moyens de la CNIL qu’à la législation.
Le système d’autorisation actuel existe pour éviter que certains types de données, jugés sensibles, ne fassent l’objet de traitements non justifiés. En supprimant le système d’autorisation préalable, au profit de la procédure déclarative actuelle, le risque de voir fleurir hors de tout contrôle les traitements utilisant ces données [6] est réel.

• La libre circulation des données :

Au motif de la libre circulation des données, le rapporteur souhaite l’abrogation de toute règle relative au transfert de données à l’étranger.
Ce point appelle deux observations. Tout d’abord, la libre circulation concerne en premier lieu les pays membres de l’UE. Or, les données circulent déjà librement en son sein. Ensuite, la disparition de ces règles entraînerait la caducité automatique du futur règlement. Quelle nécessité y a-t-il à traiter des données en Europe, et donc à se soumettre à sa législation, s’il est possible grâce au Cloud de les traiter dans un quelconque pays moins regardant sur les droits des citoyens ?

• Le rôle du délégué à la protection des données :

L’un des rares points positifs de ce projet d’avis. Le rôle de cet acteur [7] est précisé, plus explicite. Notons tout de même que la description de ses missions implique la mise en place de processus visant à accomplir ses missions et non plus la réalisation des missions elles-mêmes.

• La modification des pouvoirs des autorités de contrôle :

Sous la directive actuelle, les autorités de contrôle (la CNIL en France) sont responsables de leur territoire.
L’amendement proposé consiste à rendre compétente l’autorité de contrôle dans le ressort duquel se trouve le principal établissement de l’organisme à contrôler.
Nous souhaitons donc bon courage au Data Protection Commissioner irlandais, qui aura la charge de Google et Facebook pour l’Europe.

• Les sanctions sont modifiées :

Comment ne pas parler des sanctions, alors que la totalité des commentateurs français ont salué la mise en place de sanctions d’un montant un peu plus relevé [8] ?
D’office, le projet de rapport pour avis diminue par deux le montant. Un million d’euros maximum, ou bien 1% du chiffre d’affaire mondial. Une goutte d’eau pour les GAFA [9].
Cette sanction ne serait bien évidemment prononcée qu’après un premier avertissement public resté sans effet.
Mais pour quelle faute ? Toutes les infractions spécifiques seraient supprimées, pour ne laisser subsister que la violation volontaire et répétée des obligations issues du règlement.

Le tableau dessiné est bien noir. Espérons que le Parlement européen saura se montrer avisé lors du vote des amendements.

Article co-rédigé par Audrey Duquenne et Matthieu Wiedenhoff, MSA