En 2009 la Commission Européenne a lancé une première consultation sur les défis auxquels doit faire face la protection des données personnelles résultant d’une part, des nouvelles technologies (et de la rapidité de leur évolution) et d’autre part, de la globalisation (et du fait que les données circulent facilement au delà des frontières). La consultation de 2009 portait sur l’identification de ces défis, l’adéquation de la réglementation existante pour y répondre et les modifications nécessaires.

A la suite de celle-ci, la Commission Européenne voulait initialement présenter une proposition de réforme en octobre/novembre 2010, ce à quoi les autorités nationales, dont la CNIL, ont réagit alléguant qu’elles n’ont pas été suffisamment consultées sur un sujet aussi fondamental, ainsi que cela a été exposé sur le site de la CNIL. Finalement, la Commission Européenne a publié le 4 novembre un communiqué sur sa stratégie et lancé une nouvelle consultation publique.

La stratégie se définit en 5 points dont certains aspects sont expliqués plus en détails dans une FAQ.

1. Renforcer le droit des particuliers : limiter la collecte et le traitement de données au strict nécessaire, améliorer l’information, permettre un consentement « éclairé » et imposer le « droit à l’oubli ».

Cela reflète clairement ce qui est au centre des débats actuellement : comment donner à l’individu un pouvoir sur les données qui le concernent et même, lui faire prendre conscience des conséquences de certains de ses actes sur internet ? Sont notamment visés, les cookies, le marketing comportemental, les réseaux sociaux, les données de géo localisation Ceci passe en premier lieu par une meilleure information de l’internaute pour combattre l’opacité dont font preuve certains prestataires. Ceci passe aussi par la possibilité pour l’internaute d’exercer ses droits et notamment celui de demander l’effacement des données sur internet en général et les réseaux sociaux en particulier (aussi désigné par le « droit à l’oubli »). La question du consentement est certainement une question délicate si le but est de favoriser le plus souvent un opt-in explicite.

Ce point ne fait cependant pas allusion à l’autre aspect abordé dans certains de ces débats, à savoir l’équilibre à trouver avec les autres droits fondamentaux que sont la liberté d’expression ou d’opinion et le droit de propriété intellectuelle.

La Commission précise que l’amélioration de l’information des personnes concernées consiste aussi à étendre l’obligation d’information des « incidents » (accès illicite, altération ou destruction imprévue de données) à toutes les situations (et non plus limité aux systèmes de communications)

2. Renforcer la dimension « marché unique » en faveur des sociétés pour répondre aux disparités actuelles entre les différents pays de l’UE

Il s’agit de résoudre une préoccupation importante des entreprises et groupes de sociétés ainsi que de préserver l’unité et la fluidité du marché européen. .La question fondamentale est de savoir sous qu’elle forme une telle harmonisation peut se faire. En effet, des disparités persistent malgré l’existence d’une directive et d’une coopération croissante des autorités nationales au sein du Groupe de l’article 29. Certains suggèrent d’utiliser l’outil de la de reconnaissance mutuelle (comme c’est le cas par exemple dans les Binding Corporate Rules ou règles internes d’entreprises).

La Commission prévoit aussi de renforcer l’obligation pour les entreprises d’adopter un certain nombre de comportements protecteurs comme la nomination de CIL ou de leur équivalent, la réalisation d’études d’impact sur les données et la mise en œuvre de règles de « privacy by design » (sans pour autant évoquer le concept de « accountability » sur lequel le Groupe de l’article 29 vient de publier une recommandation).

3. Réviser les règles relatives à la protection des données dans les domaines de la coopération policière et de la coopération judicaire en matière pénale

Il s’agit, maintenant que cela est possible grâce au traité de Lisbonne, de réglementer au niveau Européen de façon complète et cohérente ces domaines et plus généralement le traitement de données à des fins répressives. (à savoir la collecte, le traitement et la conservation de données en vue de la prévention, l’investigation, la poursuite et la sanction des infractions à la loi).

La Commission va aussi revoir la directive de 2006 sur la conservation des données qui impose aux sociétés de stocker les données relatives au trafic de télécommunication.

4. Assurer des niveaux de protection élevés en faveur des données transférées en dehors de l’UE

On peut s’interroger sur ce que signifie véritablement ce point. La Commission parle « d’améliorer » et de « rationaliser », ce qui est nécessaire car la réglementation s’appliquant aux transferts est lourde, formaliste et couteuse et ne permet pas de répondre facilement à toutes les situations. Mais elle parle aussi de « défendre les mêmes niveaux de protection » auprès des « pays tiers » et « promouvoir les normes élevées » à l’échelle internationale. Or cela ne semble pas aller dans le sens d’une reconnaissance plus étendue de pays (ou de systèmes juridiques) considérés comme ayant une « protection adéquate » (vers lesquels le transfert ne requière pas d’autorisation), sachant que les procédures existant en Europe sont parfois perçues comme peu flexibles et peu ouvertes.

Dans ce cadre la Commission entend accroitre sa coopération avec des organismes comme l’OCDE.

La Commission veut, en outre, s’assurer que les particuliers qui sont en Europe bénéficieront bien des mêmes droits en dehors de l’Europe, notamment en matière de recours judiciaire.

5. Un contrôle plus effectif de l’application des règles

Il s’agit de renforcer et d’harmoniser les pouvoirs des autorités nationales par exemple en leur donnant à toutes un pouvoir d’investigation et de sanction (cela signifie aussi accroitre leurs ressources). Et aussi d’améliorer la coordination et la coopération en vue d’une meilleure cohérence (notamment par le biais du Groupe de l’article 29 dont la Commission souhaite qu’il devienne une entité plus « transparente »)

La consultation prend fin le 15 janvier 2011 et la Commission entend ensuite soumettre une proposition courant 2011.

Le projet ne remettra pas en cause les principes fondamentaux de la réglementation actuelle mais la Commission parle de réviser et moderniser la réglementation et lui permettre d’englober tous les secteurs. Les points stratégiques listés ci-dessus n’ont rien de surprenants. Pour autant, ils ne répondent pas à certains points plus précis soulevés dans les réponses à la première consultation, comme par exemple la pertinence de la distinction entre « responsable de traitement/ data controller » et « sous traitant/data processor ». Par ailleurs, ils laissent à penser qu’un important travail reste encore à effectuer pour aboutir à une proposition. Or, il est clair que l’étape suivante, à savoir celle du processus législatif, s’étendra elle aussi sur une période significative et peut être même au-delà du mandat des députés et des commissaires actuels qui prend fin en 2014.

Le communiqué de la Commission peut être trouvé sur le lien suivant (qui lui même comprend un lien vers la consultation et les FAQ sous le titre MEMO.10/542) :
http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1462&format=HTML&aged=0&language=FR&guiLanguage=en