C'était un étonnant défi d'équilibriste pour la Présidence luxembourgeoise. Mardi pourtant, en accord avec le Parlement européen, le Conseil de l'Union européenne aurait trouvé un compromis ambitieux, donnant aux utilisateurs une maîtrise renforcée de leurs données, tout en promettant aux entreprises et à la police une réutilisation de celles-là moins contraignante.
L'équation a l'air complexe, mais Xavier Bettel, Premier ministre Luxembourgeois, ministre des Communications et des Médias, persiste et signe : "Le droit à la protection des données personnelles et les besoins de l'économie numérique basés sur les données ne sont pas antinomiques. Avec cette réforme, nous avons réussi la Quadrature du cercle."
Le travail du Trilogue (Le Parlement européen, le Conseil européen et la Commission européenne) a aussi consisté à faire aboutir rapidement une coopération plus étroite entre les autorités nationales des 28 États membres pour que les entreprises actives dans plusieurs marchés européens ne doivent plus faire face à plusieurs décisions potentiellement contradictoires.
Ce qui change pour les utilisateurs
Selon le journal Le Monde qui a sur place ses informateurs, l'accord prévoit un renforcement du droit citoyen, par la possibilité de contester la publicité ciblée en ligne ou le transfert des données personnelles d'un service en ligne vers un autre.L'accord Luxembourgeois insiste aussi pour qu'un même niveau de protection soit applicable pour tous les citoyens européens, même si leurs données sont traitées par des entreprises établies en dehors de l'Union européenne.
Pourtant, malgré la ferme volonté de trouver une voix commune à l'Europe, un sujet continue de fâcher : la limite d'âge autorisant un mineur à user librement des réseaux sociaux sans accord parental. Ne parvenant pas à se mettre d'accord, les Etats membres ont statué qu'il appartiendrait aux différents pays de placer le curseur, entre 13 et 16 ans.
Ce qui change pour les entreprises
Les entreprises verront leurs besoins en termes de traitements de données pris en compte afin d'éviter toute entrave au développement économique de l'ère numérique.Les charges administratives seraient simplifiées et réduites, de par l'abolition pure et simple de la notification préalable à l'autorité de contrôle (la CNIL en France) de ses activités concernant l'extraction de données. Pour les obligations qui incombent aux entreprises, comme la sécurisation des systèmes d'information, ou la désignation d'un responsable des données, l'accord Luxembourgeois opte pour le cas par cas, déjà pratiqué en France : elles dépendront de la nature du fichier et la finalité des informations recueillies par l'entreprise.
Mais attention, s'il y a la carotte, il y a aussi le bâton : l'amende que qu'encourraient les entreprises violant ces règles a été fixé à 4% de leur chiffre d'affaires annuel mondial.
Ce qui change pour la police
A statut particulier, mesures particulières. Parallèlement au Règlement établissant le régime général en matière de protection des données personnelles, une Directive spéciale concerne les forces de l'ordre : facilitation de l'échange de ces données entre les autorités répressives au sein de l'Union européenne, uniformisation des règles policières et judiciaires, possibilité de transfert de données personnelles par les autorités à des entités privées selon des conditions spécifiques.Enfin, à l'instar de la récente loi française sur la surveillance des communications internationales, les instances policières n'auront pas ni à infirmer ni à confirmer si elles disposent de données personnelles afin de ne pas compromettre les investigations en cours.
Rappelons que ces nouvelles règles européennes ne sont pour l'heure qu'une tentative d'uniformisation européenne et que l'accord devra être confirmé au niveau du Conseil de l'UE par les 28 États membres, ce qui sera fait au cours de la réunion du Coreper II (comité des représentants permanents) qui aura lieu le 21 décembre 2015.
A lire également