Données personnelles : le Parlement européen veut de lourdes sanctions

Le Parlement européen a voté lundi soir a une large majorité le règlement sur les données personnelles. Un texte qui entend renforcer les droits des citoyens, mais qui se heurte à un intense lobbying des entreprises et qui n'a pas fini d'être discuté.

Lundi soir, le Parlement européen, par le biais de la Commission des libertés civiles, justice et affaires intérieures, a voté le projet de règlement sur les données personnelles. Les enjeux sont d'importance : moderniser la législation européenne en la matière, qui ne repose pour le moment que sur la directive de 1995, qui n'a été que légèrement modifiée depuis. Mais surtout, ce vote intervenait en plein scandale PRISM, le jour même des révélations du Monde concernant l'espionnage massif de la France par la NSA.

Le texte a été adopté par la Commission à la quasi-unanimité (49 voix pour, une voix contre). Avec près de trois ans de travail pour 4 000 amendements déposés, sans compter les nombreux désaccords qui ont émaillé le parcours législatif du projet de règlement, le Parlement s'est donc doté d'un mandat pour négocier le texte avec les gouvernements de l'Union européenne. Il doit également être adopté en séance plénière.

Le projet soumis au vote des élus communautaires vise à mieux protéger les citoyens européens en matière de données personnelles. Pour atteindre son objectif, il dresse donc une série de dispositions et de sanctions:
Le Parlement européen inclut des dispositions obligeant une entreprise visée par une demande d'un pays tiers de lui transférer des données à demander l'autorisation à la CNIL du pays où elle est implantée. Elle devra également informer la personne visée par les requêtes.

En prenant pour exemple dans son communiqué « un moteur de recherche, un réseau social ou un fournisseur de cloud », l'entité communautaire semble vouloir démontrer que cette disposition vise aussi, et sans doute avant tout, les géants américains, et les requêtes des États-Unis.
Si les firmes n'obtempèrent pas, alors elles seront, en l'état du texte, exposées à des sanctions exemplaires : 100 milions d'euros voire 5% du chiffre d'affaires annuel mondial si ce dernier critère accroît la sanction. La Commission européenne a de son côté proposé des peines allant jusqu'à un million d'euros ou 2% du chiffre d'affaires annuel dans le monde entier.
Le projet de règlement consacre également le droit à l'effacement, ou la faculté d'obtenir la suppression des données laissées sur Internet si une demande en ce sens est formulée.
Afin de renforcer ce droit, si une personne demande un contrôleur des données (par exemple une société Internet ) pour effacer ses données, l'entreprise doit également transmettre la demande aux autres, où les données sont répliquées. Plus que d'un droit à l'oubli, il s'agit donc bien d'un droit à l'effacement.
Le consentement explicite vise à renforcer le contrôle des internautes sur leurs données. Car en consacrant le concept, il s'agit de permettre à l'internaute de se rétracter aussi aisément qu'il a donné son consentement.

Pour toute exécution d'un contrat ou prestation de service nécessitant le traitement de données personnelles, l'entreprise ou l'organisme devra obtenir l'accord de l'internaute, sur la seule base du traitement des données strictement nécessaire à son service ou son activité.

Sur ce point, la Quadrature du Net craint que le principe du consentement explicite ne soit largement altéré par celui de « l'intérêt légitime à collecter des données », également consacré dans le texte.
« Les députés fixent des limites au profilage, une pratique utilisée pour analyser ou prédire la performance d'une personne au travail, sa situation économique, son emplacement, sa santé ou son comportement ». Le Parlement européen entend soumettre cette pratique au consentement de la personne visée. Celle-ci devra également pouvoir s'y opposer.

Là encore, la Quadrature du Net pointe du doigt le manque de protection des données pseudonymisées. En effet, le projet de règlement entend présumer le traitement de ces données comme n'affectant pas les libertés individuelles de l'individu. Mais pour la Quadrature des données pseudonymisées peuvent toujours être facilement rattachées à la personne concernée à l'occasion d'un autre traitement.

Françoise Castex, l'eurodéputée socialiste regrette elle aussi le manque d'avancées sur ce point. « Nous aurions pu souhaiter un encadrement plus strict sur l'encadrement des données pseudonymes mais ce résultat est dans l'ensemble un bon résultat qui était encore impensable il y a quelques mois », fait-elle savoir. Reste désormais à trouver un accord auprès de la Commission européenne et du Conseil européen.