J’ai assisté au congrès sur les données personnelles organisé par l’IAPP Europe (International organisation of privacy professionals) les 13, 14 et 15 novembre, qui après deux années à Paris s’est tenu cette fois-ci à Bruxelles. Cet évènement rassemble aussi bien des « compliance officers » américains que les CIL, RSSI ou juristes et avocats spécialisés européens mais aussi les représentants des différentes autorités de protection des données personnelles. Parmi les intervenants, la CNIL était particulièrement bien représentée à la fois en nombre et en la personne de sa présidente, Mme Falque Pierrotin. Les institutions européennes (le Parlement, la Commission et le G29) et l‘EDPS, autorité européenne des données personnelles, ont aussi envoyé certains de leurs représentants les plus actifs et charismatiques.
Le droit des données personnelles étant en évolution permanente et touchant de façon transversale toutes les activités économiques, les sujets d’intérêts sont nombreux. Mais bien évidemment celui qui a été au centre des discussions est le projet de règlement européen. Ce projet est à la fois attendu et redouté. Il représente enfin l’espoir d’une harmonisation des règles, absolument indispensable dans un monde où les données ne sont plus cantonnées à l’intérieur des frontières de chaque pays. D’un autre côté le texte semble à certains trop prescriptif et, bien que très détaillé, pas adapté à toutes les situations ni à l’évolution technologique.
Avec autant de participants le débat est resté relativement général mais voici quelques informations glanées pour vous:
• Il s’agira bien d’un règlement, donc un texte directement applicable dans le droit des États membres, et non d’une directive
• Le règlement s’appliquera tant aux personnes publiques qu’aux personnes privées même si les États membres semblent montrer peu d’enthousiasme à cette idée
• Il est indissociable du projet de directive (bien moins connu et parfois oublié, mais pourtant essentiel) sur les traitements relatifs de prévention et de détection des infractions pénales, d’enquêtes, de poursuites et de procédure judiciaire connexes
• Le calendrier devrait permettre de présenter une nouvelle version cet été, mais il se peut que des retards résultent de la règlementation de la sphère publique et policière
• Le principe du « one stop shop »ou point de contact unique reste maintenu : tout le monde s’accorde à dire, la CNIL y compris, que c’est une bonne chose pour simplifier les formalités. En revanche, les critères d’identification du pays de « l’établissement principal » d’un groupe sont à élargir. Par ailleurs, il faut clarifier le rôle de « l’autorité de contact » dans le cadre d’infractions touchant plusieurs pays ou de plaintes de personnes vivant dans d’autres pays que celui de l’autorité de contact. L’équilibre et la collaboration avec les autres autorités reste à définir plus précisément. En dernier lieu, pour éviter le forum shopping, ce n’est pas au groupe de « choisir » le pays où se trouverait sont « principal établissement » mais aux autorités de le déterminer
• Un débat est clairement apparu sur la question de l’«accountabiliy » (responsabilité) : s’agit-il de règles flexibles dans lesquelles il faut piocher selon les caractéristiques de l’activité ou du traitement des données (c’est la position des intervenants du côté des sociétés) ou bien des règles à respecter et mettre en place de façon systématique (c’est la position des intervenants côté autorités) ?
• Un autre débat a porté sur les critères en fonction desquels un CIL devient obligatoire. Le chiffre de 250 employés correspond au seuil délimitant les PME et ne sera pas remis en question. Le critère plus délicat, mais néanmoins nécessaire, est celui du type de traitement (indépendamment du nombre de personnes).
• Le règlement devra inciter d’avantage à l’utilisation des données pseudonymisées même si elles resteront par définition des données personnelles
• Les évaluations d’impact (« impact assessment ») sont surtout nécessaires en cas d’évolution majeure des technologies ou introduction d’une nouvelle technologie (comme la reconnaissance faciale) et moins dans les autres cas
• L’ « intérêt légitime » du responsable de traitement, qui permet de légitimer un traitement de données, devra toujours avoir pour limite les droits fondamentaux des personnes (dont le droit à la protection des données qui est d’ailleurs devenu un droit constitutionnel). Pour certains cela crée une zone de flou et il faudrait y substituer une approche basée sur l’évaluation des risques (à savoir, tant qu’il n’y a pas de véritable risque, l’intérêt légitime du responsable de traitement peut prévaloir sur les droits des personnes). Mais cette approche a été réfutée : il faut des principes et leur respect est essentiel.
• Le consentement reste une exception pour légitimer les transferts internationaux
• Le fait que le système de certification américain du « Safe harbor » ne soit pas mentionné dans le règlement ne remet pas en question sa validité comme moyen sécurisant le transfert international
• Le montant des sanctions restera élevé.
• La question de l’indulgence (« leniency ») qui serait accordée par les autorités en cas de manquement, pour les sociétés qui ont mis en place un système de conformité et respectent les règles et les principes, n’a pas encore fait son chemin. Pourtant ses défenseurs sont convaincus que l’on y viendra (comme c’est déjà le cas dans le domaine du droit de la concurrence).
De façon plus générale :
• Il faut éviter que les personnes soient jugées sur une « prédiction » de leur comportement (surtout en matière de répression et prévention des infractions)
• Il faut éviter que les autorités puissent se servir impunément dans les fichiers du monde économique
• Il faut que les personnes puissent garder le contrôle de leurs données, surtout dans un contexte purement commercial, et que l’utilisation de leur données soit raisonnablement prévisible
• Si le besoin d’une règlementation se fait sentir aujourd’hui c’est pour lutter contre certains abus (et non pour le plaisir de légiférer) c’est le «privacy by disaster »
• Il ne faut pas cependant créer un frein à l’innovation
De façon plus pragmatique
• Il n’est plus temps de débattre sur les principes. Ceux qui veulent voir le projet de règlement modifié doivent présenter des amendements au texte.
• Il faut des lois véritablement efficaces. La directive imposant la rétention de données aux opérateurs de communication pour lutter contre le terrorisme représente un coût significatif pour l’industrie avec une utilité quasi nulle.
Et pour finir de façon plus optimiste :
• Le niveau de protection que la nouvelle réglementation va permettre d’atteindre deviendra un argument commercial voire un atout concurrentiel (comme l’est devenue la préservation de l’environnement et le développement durable)
Pour beaucoup la protection des données personnelles est un sujet d’importance mineure et barbant. Qu’ils ne s’y trompent pas, il représente un enjeu majeur. D’un côté les données ont une vraie valeur économique et la technologie permet de faire des choses extraordinaires qui vont révolutionner notre façon de vivre et de travailler ; d’un autre, la protection des données et de la vie privée est le garant de la liberté de l’individu.
Stéphanie Faber est membre de voxFemina – Paroles d’Experts au Féminin
