AEDH

L’influence du Brexit sur la protection des données personnelles : illustration d’une protection des données renforcée par le monde de l’entreprise, pour le consommateur ; déplorable ou compromis à accepter ?

This post is also available in: enEnglish (Anglais)

Le 23 juin 2016 les citoyens du Royaume-Uni ont voté à une faible majorité (51.9%)(1) en faveur du Brexit. Cette décision populaire pose de nombreuses questions, à commencer  celle de la mise en place de la procédure de sortie d’un Etat de l’Union européenne(2), des  rapports futurs tant commerciaux qu’au niveau de la coopération migratoire entre l’UE et le Royaume-Uni.  Une question moins évidente, comme en témoigne sa quasi absence de traitement par les médias, mais non moins fondamentale se pose : quelle influence le Brexit peut-il avoir sur la thématique de la protection des données ? Ou encore : le Brexit va-t-il avoir une influence sur la protection des données ? 

Rappel du contexte. Il  est nécessaire de rappeler certains faits, à savoir d’une part l’entrée en vigueur  du GDPR(3) en avril 2016, les états ayant jusqu’à mai 2018 pour l’appliquer, et par ailleurs, l’affirmation de Theresa May dans son discours du 2 octobre 2016 de la sortie de l’UE en 2019(4). Les calendriers se chevauchant, la première question qui se pose est l’avenir de ce règlement, porteur de nombreuses avancées, au Royaume-Uni.  A titre préliminaire il semble important de clarifier un point:  le droit antérieur européen en matière de protection des données(5),  fait partie du droit britannique, tout d’abord par le jeu des transpositions et ensuite de par les principes de primauté et d’application directe du droit européen dont les fondements sont tant jurisprudentiel(6) que législatif(7). De cette manière, le Royaume-Uni, état démocratique et de droit, ne peut se soustraire au droit européen que suite à un vote des  parlementaires, représentants élus par le peuple(8). Une simple volonté politique ne suffit  -heureusement- pas.  En outre,  comme l’a rappelé Guy Verhofstadt, qui mènera les négociations relatives au Brexit au nom du Parlement européen, « Il n’y aura pas de pré-négociations avant l’activation de l’article 50 », ainsi rien ne change jusqu’en mars 2017. 

Différences d’approches entre Denham et May : soft et hard Brexit. Elizabeth Denham, Commissaire à l’information au Royaume-Uni, a tenu un discours fort intéressant le 29 septembre dernier(9) au cours duquel celle-ci a présenté sa vision du futur en matière de données personnelles et s’est ainsi exprimée sur le Brexit :  « Brexit ne veut pas dire Brexit en matière de protection de données », affirmation qui résonne étrangement suite à la désormais célèbre formule  «Brexit signifie Brexit » prononcée par Theresa May. Elizabeth Denham souligne ainsi qu’en matière de données personnelles la rupture avec l’Union Européenne ne peut être brutale et même plus exactement, ne peut avoir lieu.

Elizabeth Denham soutient  sans conteste le maintien des règles européennes et ainsi l’application du GDPR, elle en rappelle d’ailleurs les progrès tels que la consécration du « privacy by design »(10), l’introduction de la portabilité des données,  l’obligation de dévoiler les défaillances de sécurité, ou encore l’augmentation significative des amendes lorsque les entreprises ne respectent pas les règles. L’application du GDPR pourrait selon elle passer par son application par le Royaume-Uni avant 2018, ce qui évacuerait tout conflit. A défaut elle pose comme essentielle l’adoption d’une loi nationale équivalente. Tout cela semble véritablement encourageant. Cependant, l’argumentaire, les raisons de ce soutien peuvent paraître quelque peu décevants au regard de l’objectif de la protection de la vie privée, de son importance, de son caractère fondamental.

Raison de ce soutien : Pragmatisme économique. La raison principale de ce soutien est incontestablement l’économie, Elisabeth Denham affirme en effet qu’une règlementation commune en matière de protection des données est « fondamentale pour l’économie numérique ».  Une règlementation commune est là pour permettre, faciliter  les échanges  avec l’UE.  Afin d’étayer son argumentaire, démontrer les risques d’une loi « non européenne » insuffisante, Elizabeth Denham évoque l’exemple du « Safe Harbour » devenu « Privacy Shield »(11). En effet ; on peut rappeler que l’UE ne peut transmettre ses  données qu’avec un pays assurant des standards de protection des données équivalents, cette équivalence pouvant être contrôlée par la CJUE. Cette potentielle censure, comme cela a été le cas pour le « Safe Harbour »(12) et comme il n’est pas exclu que cela ne le soit pour le « Privacy Shield », est indubitablement facteur d’instabilité, de perte de confiance et cela « n’est pas compatible avec réussite de l’entreprise ». 

Tout cela nous amène à constater que le soutien de la commissaire ne vise qu’à préserver la confiance du consommateur dans l’entreprise, l’état des lieux  au Royaume-Uni n’étant pas « glorieux »(13). Le programme de son mandat de cinq ans est ainsi de créer « une culture de confiance »  dans le traitement des données personnelles. Mais, bien que cela ne soit pas exclusivement négatif, cette volonté de confiance vise seulement le consommateur.   L’individu n’est envisagé que comme « consommateur »,  seule une fois la qualité de « citoyen » lui est attribuée dans le discours de la commissaire. Ainsi, la commissaire s’inscrit dans la lignée pragmatique du GDRP qui visait principalement le renforcement de la confiance des citoyens et des entreprises dans le marché numérique européen. Elizabeth Denham ne semble donc  soutenir  ces avancées que pour préserver les échanges économiques. « Nous avons besoin de ces règles [le GDRP] pour assurer le commerce frontalier, sans parler de la vie privée des citoyens et des consommateurs ».

Quid de l’importance objective de la vie privée ? Elizabeth Denham n’a cessé de rappeler que « vie privée et innovation ne sont pas incompatibles »(14). De cette manière la commissaire tente de concilier commerce et vie privée. Cela n’est pas négatif, elle va ainsi travailler à l’amélioration de la protection des données personnelles. Cependant, ce pragmatisme, alors même qu’il peut se révéler fort efficace, ne sert absolument pas le rayonnement du droit fondamental qu’est le respect de la vie privée, la protection des données.

De plus, une approche purement pragmatique, dénuée de valeur ne peut pas défendre complètement la protection des données personnelles. En effet, le droit à l’oubli peut-il efficacement être défendu par le monde de l’entreprise ? En outre, le traitement et l’échange des données par les autorités publiques,  notamment dans le cadre de la coopération judiciaire ou la lutte anti-terroriste(15), ne sont pas évoquées. Elizabeth Denham ne cite que la directive de 1995.

Déplorer l’absence de valeur? L’absence de l’argument du caractère fondamental, de la valeur que constitue la protection des données personnelles est à déplorer. Paradoxalement, force est de constater que, a priori, le monde de l’entreprise va probablement servir cette valeur, dans son intérêt et sans la reconnaître comme telle.

En somme, au vu des déclarations de la commissaire de l’information, le Brexit n’exclura probablement pas  le Royaume-Uni du domaine d’application de la nouvelle règlementation européenne qui soit fera  déjà partie de la règlementation britannique ou qui sera intégrée par l’adoption d’une loi équivalente. La commissaire semble véritablement déterminée à sévir en la matière au niveau des entreprises, comme en témoigne l’amende récemment imposée à la compagnie de télécommunication « Talk Talk »(16) ou la ferme condamnation de la défaillance sécuritaire ayant touché Yahoo.

Les prises de position liées au Brexit donnent clairement à voir que la protection des données personnelles est un thème dont l’importance a été saisie par les entreprises, ce qui constitue indéniablement une avancée mais non un idéal en tant qu’il semble que seul le pragmatisme -stabilisation de la relation de confiance entreprise-consommateur- ne la dirige.

Annexes :

 

 

———-

  • (1) Résultats du vote : http://www.touteleurope.eu/actualite/brexit-les-resultats-du-vote.htm
  • (2) Procédure régie par le désormais célèbre Article 50 du TUE à laquelle il n’a jusqu’alors jamais été fait recours.

  • (3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). 

  • (4) Theresa May a également prévu l’enclenchement de l’article 50 TUE avant mars 2017.

  • (5) En l’espèce, notamment et surtout la directive de 1995 : Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

  • (6) CJUE, 5 février 1963, van Geend en Loos pose le principe de l’effet direct du droit communautaire ;  CJUE, 15 juillet 1964, Costa/Enel affirme la primauté du droit de l’UE sur le droit national, jurisprudence valable au RU bien qu’antérieure à son adhésion à l’Union européenne de 1972.

  • (7) L’European Communities Act 1972.

  • (8) Le projet de Theresa May étant de faire voter une Great Repeat Bill par le Parlement et de faire abroger l’European Communities Act.

  • (9) https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/09/transparency-trust-and-progressive-data-protection

  • (10) « Privacy by design, ça veut dire quoi ? », Sylvain Metille, 21 avril 2011. https://ntdroit.wordpress.com/2011/04/21/privacy-by-design-ca-veut-dire-quoi/

  • (11) http://www.aedh.eu/Privacy-Shield-Un-avenir-incertain.html

  • (12) CJUE, 15 novembre 2015, Schrems.

  • (13) Une étude du bureau de l’information britannique (ICO) d’avril 2016 révèle que seul un adulte anglais sur quatre ne fait confiance aux entreprises quant à ses données personnelles : https://ico.org.uk/about-the-ico/our-information/research-and-reports/information-rights-research/

  • (14) Cette idée rejoint celle de Giovanni Buttarelli selon laquelle éthique et innovation ne sont pas incompatibles. 

  • (15) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil  //  -Directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.

  • (16) « Fuite des données : amende « record » de 400000 livres pour l’opérateur TalkTalk », Guénaël Pépin, 7 octobre 2016 http://www.nextinpact.com/news/101664-fuite-donnees-amende-record-400-000-livres-pour-operateur-britannique-talktalk.html

 

 

Compte AEDH