Numérique / Protection des données : l’UE se dote d’un dispositif renforcé

Quatre années de longues tractations, et des milliers d’amendements déposés ont finalement débouché sur un compromis en matière de législation sur la protection des données personnelles, scellé mardi 15 décembre entre le Parlement européen (PE) et le Conseil de l’Union européenne (UE), organe de représentation des Etats membres à Bruxelles. Les eurodéputés de la Commission ‘libertés civiles’ ont également donné leur feu vert à l’accord ce jeudi 17 décembre. Etape préliminaire avant son adoption en plénière.

L’adaptation de la législation datant de 1995 était devenu urgente. Alors que 97 % des données personnelles transitent aujourd’hui par l’Internet, les textes encadrant leur utilisation avaient été conçu bien avant son développement. Par ailleurs, ces données sont sources de convoitise pour les professionnels du secteur. Estimées à 315 milliards d’euros, la valeur des données personnelles des citoyens européens pourrait atteindre 315 milliards d’euros en 2020.

Pour les élus européens, négociateurs sur le texte, la priorité était donc d’obtenir un difficile équilibre entre la protection des droits fondamentaux des citoyens et le développement de l’économie numérique en Europe. « Les nouvelles règles vont rendre aux utilisateurs le droit de décider quant à leurs propres données privées », a souligné le député en charge de la réglementation pour le Parlement, Jan Philipp Albrecht (Verts/ALE, DE). Ce cadre légal adapté donnera aussi aux entreprises davantage de sécurité juridique en établissant des normes communes au sein de l’UE. Ce qui devrait signifier « moins de bureaucratie et créer une concurrence équitable pour toutes les entreprises sur le marché européen », s’est félicité l’eurodéputé allemand.

Donner aux consommateurs davantage de contrôle sur leurs données

La réglementation prévoit de donner aux consommateurs davantage de contrôle sur leurs données qui ne pourront pas être exploitées sans leur consentement explicite. Ceux-ci pourront également exiger l’application du droit à l’oubli par les entreprises, c’est-à-dire la suppression de données à caractère personnel quand elles ne sont plus pertinentes.

Parmi les autres points de discussion, figurait aussi le montant des amendes que devront payer les entreprises  en cas de violation des règles européennes. Au terme de l’accord, les géants d’Internet pourraient être sanctionnés à hauteur de 4% de leur chiffre d’affaires annuel mondial, une somme colossale pour des groupes qui enregistrent plusieurs dizaines de milliards de dollars par an de revenus. « L’UE aura désormais la législation la plus étendue de protection des données personnelles dans le monde », s’est réjouie l’eurodéputée Sophie in ‘t Veld (libérale, Pays-Bas). « L’accord prend en compte la décision récente de la justice européenne qui a déclaré invalide le cadre juridique qui couvre le transfert par Facebook de données personnelles de l’UE vers les Etats-Unis », précise l’élue néerlandaise.

Les géants du net « gérant d’importantes quantité de données sensibles ou étant susceptibles, par leurs activités, de surveiller le comportement de  nombreux consommateurs », détaille un communiqué du PE, seront tenues de désigner, en leur sein, un agent de protection des données. Les PME devraient quant à elles bénéficier du nouveau cadre légal qui prévoit la simplification des procédures auxquelles elles étaient soumises jusqu’à maintenant. Plus besoin, par exemple, de faire de notifications préalables aux autorités de protection des données nationales pour l’utilisation de certaines informations. Même chose pour l’établissement de bases de données, quand, manifestement, elles ne contreviennent pas à la législation ou qu’elles ne sont pas massives. Enfin, Dans le cas d’un litige, une seule autorité de régulation sera compétente : celle du pays où l’entreprise a son siège.

Dernier point sensible de l’accord, à l’origine de longues négociations : les Etats membres pourront fixer librement « entre 13 et 16 ans » l’âge auquel un mineur peut s’inscrire sur des réseaux sociaux comme Facebook, Snapchat ou Intsgram, sans l’accord d’un parent. « Malheureusement, les Etats membres n’ont pas pu se mettre d’accord pour fixer une limite d’âge à 13 ans », regrette Jan-Philipp Albrecht. Le PE souhaitait en effet fixer cette limite à 13 ans, soit l’âge minimum requis indiqué par Facebook, mais certains Etats membres s’y sont opposés refusant de transiger sur ce point.

« L’adoption de mesures comme la portabilité des données ou le droit à l’oubli pour les mineurs dessinent un cadre communautaire pleinement cohérent avec les orientations du Projet de loi pour une République numérique », s’est félicité Axelle Lemaire. Le Règlement laisse par ailleurs la possibilité aux Etats d’adopter des dispositions complémentaires et innovantes, comme la France prévoit de le faire sur la mort numérique », a ajouté, la secrétaire d’Etat française chargée du numérique.

Cet accord de principe doit encore être confirmé par le Conseil européen puis voté par le PE, réuni en plénière, début 2016. Les 28 auront ensuite deux ans pour le faire entrer en vigueur.

Kattalin Landaburu à Bruxelles