Les citoyens européens prêts à contrôler leurs données personnelles face aux géants du web

Le droit européen est un puissant levier dans la garantie des droits individuels. La proposition de règlement général sur la protection des données fixe pour les années à venir des règles harmonisées pour les 28 États membres de l’Union européenne applicables aux données personnelles, leur traitement et leur libre circulation dans le marché intérieur digital. Se faisant il renforce les droits individuels et impose de nouvelles obligations aux entreprises qui les collectent et les traitent quel que soit le lieu de situation de leur siège social.

Son adoption coïncide avec l’aboutissement de la négociation de la directive sur la cybersécurité et l’annulation de l’accord de _Safe Harbor _par la Cour de Justice de l’Union européenne qui permettait aux entreprises de transférer les données de leurs clients vers les USA où la protection des données est moindre que dans l’Union.

Le règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données est sur le point d’être adopté.

Le 15 décembre dernier, le Conseil, le Parlement européen et la Commission européenne apportaient les dernières touches à ce projet de règlement européen initié en 2012. Sur le plan de la procédure, le texte sera validé par le Parlement européen en séance plénière avant sa promulgation. L’entrée en vigueur du règlement est prévue deux ans après, soit début 2018, ce qui laisse peu de temps aux entreprises pour adapter leurs pratiques au nouveau cadre réglementaire.

Le champ d’application du règlement est très large puisqu’il recouvre tout traitement de données personnelles qu’il soit fait à titre gratuit ou payant. En outre, les données personnelles ont une large définition et le champ d’application territorial du règlement s’étend aux traitements opérés en dehors de l’Union européenne ce qui accentue le caractère assujettissant du règlement (art. 3 et 4).

Rappelons que sur le plan de la technique juridique le recours à un règlement est beaucoup plus contraignant d’une directive. En effet, son contenu est en tous points obligatoire et aussi directement applicable à compter de la date de son entrée en vigueur ; par opposition à la directive qui ne fixe qu’un objectif à atteindre et nécessite une transposition en droit interne. Le règlement présente l’avantage d’harmoniser le cadre juridique qui jusqu’ici variait d’un État à l’autre en raison de la marge de manœuvre laissée par la transposition de la directive ce qui apporte plus de sécurité juridique aux entreprises.

Données personnelles et renforcement des droits individuels : vers plus de transparence.

Le règlement rappelle que la protection des données personnelles est un droit fondamental issu de la Charte des Droits fondamentaux de l’Union européenne (art. 8-1) et du Traité de l’Union européenne (art. 16). Ce droit devient de plus en plus concret avec la nécessité d’un consentement libre, spécifique, éclairé et non ambigu au traitement des données personnelles (préambule § 25, art. 4-8) ce qui empêchera la réutilisation des données à d’autres fins que celles initialement acceptées et donc de contester une publicité ciblée rendue possible par le croisement de données collectées massivement. L’accord parental est aussi requis pour le traitement des données relatives aux mineurs jusqu’à l’âge de 16 ans, sauf dérogation de l’État membre (art. 8, par exemple pour une inscription sur un réseau social).
Le contrôle exercé par l’individu sur ses données augmente avec la possibilité de retirer son consentement à tout moment et grâce à l’instauration d’un droit d’accès comprenant la rectification, la suppression des données (le droit à l’oubli numérique est ainsi généralisé) et le droit de s’opposer au transfert de ces données vers un État tiers ou une organisation internationale (art. 15 à 17). Le droit à la restriction du traitement pourra empêcher l’utilisation de données non pertinentes (art. 17a) et le droit à la portabilité des données facilitera le passage d’un prestataire à un autre c’est-à-dire d’une application à une autre ou d’un réseau social à l’autre (art.18).

Une approche holistique et responsabilisante pour les organisations qui collectent des données personnelles.

Il ne s’agit pas seulement d’être en conformité avec le règlement, mais plutôt de comprendre sa logique protectrice des intérêts individuels à travers les modalités de collecte des données personnelles. Les organisations et entreprises devront nommer un Responsable de la protection des données (Data Protection Officer, art. 36) et notifier les failles de sécurité dont elles sont victimes. Cette obligation était jusqu’ici absente des règles nationales ce qui permettait aux entreprises de « préserver » leur réputation en cas de piratage.

La notification sera obligatoire en cas de risque élevé pour les individus (usurpation d’identité, fraude) et devra intervenir sans délai et au plus tard dans les 72 heures (art.31), elle se fera en seule fois pour tous les États membres. En cas de manquement à cette obligation, le responsable de traitement ou le fournisseur de services risque une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires (art. 79), en plus d’une action en justice exercée collectivement par ses clients. Les conséquences en termes de réputation et financières sont donc potentiellement énormes pour les géants du web qui génèrent des milliards d’euros par an.

L’implémentation de mesures de sécurisation du web est aussi prévue par la proposition de directive cybersécurité (proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union). Elle est en lien étroit avec le règlement général sur la protection des données en ce qu’elle prévoit le signalement d’incidents de sécurité majeurs (cyberattaque, intrusion, vols de données) dès leur découverte aux autorités nationales (directive NIS pour Network ad Information Security).

Elle a également atteint le stade ultime des négociations au Conseil et prévoit des règles de cybersécurité communes aux 28 États membres : la directive s’appliquera aux infrastructures critiques à savoir celles des secteurs de l’énergie, la santé, la banque, le transport, les marchés financiers ainsi qu’au secteur du numérique (marchés en ligne, fournisseurs de cloud, moteurs de recherche sont donc visés eBay, Google et Amazon). Les citoyens européens sont donc en passe de franchir un cap historique dans l’exercice de leurs droits et libertés individuelles grâce à la convergence de ces normes européennes.