Il n’y a pas que les données personnelles qui franchissent les frontières. En effet, L’IAPP (International Association of Privacy Professionals) a organisé pour la troisième fois en quatre ans pour ses membres une visite de plusieurs villes européennes à la fin du mois de juin; cette année il s’agissait de Berlin, Bruxelles et Paris. L’ IAPP est une association américaine de "professionnels" de la protection des données personnelles, qui célèbre cette année ses 10 ans d’existence. Selon son site web, elle a plus de 7000 membres dans 52 pays. Ses membres sont principalement situés en Amérique du Nord et elle vient de lancer un sous-groupe européen.
Ce petit « tour » est important en ce qu’il a permis aux représentants des grands groupes de sociétés, et surtout ceux dont la société mère est basée aux USA, de prendre la mesure des tendances de fond en Europe (et aussi dans certains des pays membres qui ont une réglementation plus contraignante).
Or, l’actualité est, si l’on peut dire, brûlante :
– La loi allemande vient de changer de façon significative sur un certain nombre de points (par ex. les règles relatives au correspondant à la protection des données et notamment la protection contre le licenciement, les notifications pour « data breach » et les clauses dans les contrats d’outsourcing) et doit encore changer concernant les données des employées.
– En France, la proposition de loi adoptée par le Sénat le 23 mars et « visant à mieux garantir le droit à la vie privée à l’heure du numérique » sera soumise à l’Assemblée Nationale. Elle comporte de nombreux et significatifs changements de loi (la proposition de loi peut être consultée sur le site du Sénat sous le thème « droit à la vie privée » www.senat.fr/dossier-legislatif/ppl09-093.html).
– La réglementation européenne quant à elle, vient introduire à l’occasion de la modification du paquet télécoms, dans la directive communication électroniques 2002/58, l’obligation de notifier les « violations de données à caractère personnel » ainsi que des dispositions concernant les cookies (on peut trouver le texte de la directive 2009/136 sur le site www.euro-lex.europ.eu). De plus, le traité de Lisbonne a fait du droit à la protection des données personnelles un droit fondamental (article 8 de la Charte des Droits Fondamentaux). Il devrait y avoir des modifications plus globales encore de la réglementation européenne d’ici à 2014, sur la base de principes que la Commission européenne doit élaborer, en principe d’ici la fin de 2010. Il est à espérer que ces modifications puissent répondre à certaines des préoccupations soulevées dans les réponses à la consultation publique lancée l’année dernière par la Commission Européenne sur la directive européenne 95/46 sur la protection des données personnelles (et plus particulièrement « sur les nouveaux défis que rencontrent les données à caractère personnel, la façon dont elles peuvent être protégées au regard des enjeux que génèrent les nouvelles technologies et la globalisation et sur la capacité du cadre juridique actuel à y répondre »). Elles ne devraient cependant pas affecter les règles fondamentales telles qu’elles sont structurées aujourd’hui. En revanche, il n’est pas exclu que le souhait d’une plus grande
harmonisation au niveau des pays membres puisse se résoudre, pour partie, par des règles d’application directe.
En plus de présentations sur les sujets d’actualité propre à chaque pays, les membres de l’IAPP ont pu écouter et interroger des représentants des autorités de protection des données personnelles de chaque pays et notamment M. Peter Schaar, président de la commission fédérale allemande, Mme Kirstin Bock de la très active autorité du Land de Schleswig-Holstein (qui participe notamment aux activités de l’organisme de certification EuroPrise) , M. Peter Hustinx, président de l’autorité européenne (EDPS), M. Willem Debeuckelaere, président de l’autorité belge et Thomas Dautieu du service des contrôles de la CNIL. Messieurs Schaar, Hustinx et Debeuckelaere sont aussi membres du Groupe de travail « article 29 » (qui regroupe les représentants des différentes autorités de chaque pays membre de l’EU).
A Berlin, le groupe de l’IAPP a rencontré le président de l’association allemande pour la protection et la sécurité des données « GDD » qui a présenté les grandes lignes des changements législatifs.
A Bruxelles, le groupe a pu se joindre à la table ronde sur le marketing comportemental organisé au Parlement Européen par la vice présidente de la commission libertés civiles, justice et affaires intérieures, Mme Sophie In’t Veld, et à laquelle participaient non seulement M Debeuckelaere, qui a présenté l’avis du groupe 29 en date du 22 juin 2010 sur ce sujet, mais différents groupes d’intérêt. Le débat a été très animé sur la question d’un « opt in » obligatoire pour les cookies (position du groupe de « l’article 29 » ) et les questions sont loin d’être résolues. L’avis du groupe de l’article 29 peut être trouvé sur le lien http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2010_en.htm
A Paris des séminaires ont été organisés conjointement avec l’AFCDP (Association française des correspondants à la protection des données à caractère personnel – Correspondants Informatiques et Libertés). Cela a notamment permis aux membres de l’AFCDP de profiter de l’expérience de pays ayant déjà une réglementation imposant la notification de « violations au traitement de données à caractère personnel » ou « personal data breach » pour pouvoir mieux comprendre les enjeux, contraintes et zones grises de la proposition de loi française.
En dernier lieu, la question de la responsabilité et en particulier celle des employées, CIL et autres professionnel des données personnelles a été abordée. La présentation de son expérience personnelle par le « global privacy officer » de Google, condamné en première instance avec deux autres dirigeants par les tribunaux de Milan dans une très surprenante décision, a donné un relief particulier à cette question.
Un voyage très instructif dans un environnement en pleine ébullition et qui démontre à quel point les données personnelles sont devenues un enjeu commercial, politique et humain.
Stéphanie Faber est membre de l’IAPP, de l’AFCDP et du data protection work group de la CCI