Les Européens oseront-ils protéger leurs données face aux Etats-Unis?

Les géants de l’internet, Google, Amazon, Facebook, Apple, … et le gouvernement américain sont dans le viseur des députés européens. Lundi 21 octobre, les députés européens de la commission des libertés civiles ont renforcé la protection des données des citoyens dans l’Union Européenne. L’objectif est que les citoyens contrôlent leurs données personnelles. Reste à savoir si chaque pays membre de l’union acceptera d’intégrer ces modifications dans sa propre législation. C’est tout l’enjeu à venir.

A la suite du scandale Prism et de la surveillance massive opérée par les agences américaines sur les communications en Europe, les députés ont introduit des protections pour les transferts de données vers des pays tiers. Ils ont établi l’obligation d’avoir un consentement explicite de la part des personnes, le droit à l’effacement et des amendes plus élevées pour les entreprises qui violent les règles.

« 
Cette législation introduit des règles européennes globales sur la protection des données. Elles remplacent l’ensemble des lois nationales existantes », annonce le rapporteur pour le nouveau règlement sur la protection des données, Jan Philipp Albrecht, député Vert allemand.

Le Parlement va débuter les négociations avec les gouvernements de l’UE(Union Européenne) sur la base de ce document. «  La balle est dans la cour des États membres, qui doivent définir une position commune et débuter les négociations » poursuit-il. « Les dirigeants de l’UE devraient envoyer un signal clair à ce sujet lors du sommet cette semaine », a-t-il ajouté.

Selon le texte adopté, si un pays tiers (au hasard, les Etats Unis) demande à une entreprise, par exemple un moteur de recherche (au hasard Google), un réseau social (au hasard Facebook) ou un fournisseur de services d’informatique en mode Cloud  (au hasard Amazon), de dévoiler les données personnelles traitées au sein de l’UE, cette entreprise (Google, Facebook, Amazon, …) devra recevoir l’autorisation du Contrôleur européen de la protection des données avant de transmettre toute information. Cette même entreprise (Google, Facebook, Amazon, …) devrait également informer la personne concernée d’une telle demande.

Les entreprises qui violent ces règles seraient soumises à des amendes allant jusqu’à 100 millions d’euros ou 5% de leur chiffre d’affaires annuel mondial, en fonction du montant le plus élevé. Pour mémoire, la Commission européenne avait pour sa part proposé des sanctions allant jusqu’à 1 million d’euros ou 2% du chiffre d’affaires annuel mondial.

Par ailleurs, toujours selon la commission des libertés civiles, les données personnelles d’un citoyen devraient être effacées s’il en fait la demande. Afin de renforcer ce droit, si une personne demande à un « contrôleur de données » (par exemple une entreprise d’Internet type Google) d’effacer ses informations personnelles, l’entreprise devrait également envoyer la demande aux parties qui dupliquent les données. Ce « droit à l’effacement » couvrirait le « droit à l’oubli » proposé par la Commission européenne.

Lorsque le traitement des données se base sur le consentement, une organisation ou une entreprise ne pourrait traiter des informations personnelles qu’uniquement après avoir obtenu l’autorisation explicite de la personne concernée, qui pourrait revenir sur ce consentement à tout moment. Le consentement d’une personne correspond à « toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque » le traitement de ses données personnelles.

Les députés de la commission des libertés civiles précisent que « l’exécution d’un contrat ou la fourniture d’un service ne peut être subordonnée à l’approbation du traitement des données à caractère personnel qui n’est pas strictement nécessaire pour l’achèvement de ce contrat ou service ». Revenir sur son consentement doit être aussi facile que le donner, ajoutent les députés.

Enfin, les députés ont fixé des limites au « profilage », une pratique utilisée pour analyser ou prédire les performances professionnelles d’une personne, sa situation économique, sa localisation, sa santé ou son comportement. Le profilage serait seulement autorisé si la personne concernée donne son consentement, si la loi le prévoit ou s’il est nécessaire pour l’exécution d’un contrat. De plus, une telle pratique ne devrait pas entraîner de discrimination ou être basée uniquement sur un traitement automatique des données. Toute personne devrait avoir le droit de s’opposer à des mesures de profilage.

L’ensemble des proposition des députés prend la forme d’un « paquet »  sur la protection des données. Celui-ci  s’articule autour de deux projets législatifs. Il y a d’une part un règlement général qui couvre l’essentiel du traitement des données personnelles au sein de l’UE, incluant le secteur public et le secteur privé. Il y a d’autre part  une directive sur la protection des données qui vise à prévenir, détecter ou poursuivre les infractions pénales ainsi qu’à appliquer les peines. La directive actuelle en cours dans l’UE sur la protection des données date de 1995, avant qu’Internet ne soit largement utilisé.

Pour les députés européens, les nouvelles règles actualisent les principes juridiques sur la protection des données pour prendre en compte les défis posés par les nouvelles technologies de l’information, la mondialisation et la tendance croissante d’utiliser les données personnelles à des fins répressives.