AEDH

Soyons vigilants : la réforme de la protection des données n’est pas encore terminée !

This post is also available in: enEnglish (Anglais)

Le « paquet protection des données » adopté

Suite à l’accord trouvé le 15 décembre 2015 entre le Parlement et le Conseil, le règlement général sur la protection des données (General Data Protection Regulation : GDPR) et la directive sur la protection des données dans le secteur de la police et de la justice pénale (directive police) ont été définitivement adoptés le 14 avril dernier par le Parlement européen. Il aura fallu plus de quatre ans et un nombre record d’amendements pour en arriver là. Et pour cause : il s’agit d’une réforme d’envergure qui, pour la première fois, fixe des règles communes et directement applicables dans les 28 Etats membres en matière de protection des données. Ces textes ont donc fait l’objet d’un lobbying intense par une multitude d’acteurs, en particulier par les géants de l’internet.

Le règlement général remplacera la directive européenne de 1995 et offrira de nouveaux droits aux citoyens, par exemple un droit à la portabilité – c’est-à-dire le droit de demander le transfert de ses données personnelles d’un prestataire de services à un autre. Un nouveau mécanisme de « guichet unique » facilitera le dépôt et le traitement des plaintes des citoyens puisqu’il sera possible de s’adresser à l’autorité de protection des données de son pays de résidence quel que soit le lieu d’établissement de l’entreprise concernée. Le règlement met également en place de nouvelles obligations pour les entreprises – notamment en matière de notification – et augmente considérablement le montant des amendes en cas de non-respect des règles de protection des données.

Réforme de la directive « ePrivacy » : le travail continue

Le GDPR et la directive police entreront en application d’ici deux ans. Mais, en attendant, il faut veiller à ce que les avancées contenues dans ces textes ne soient pas revues à la baisse au cours de l’adoption d’autres réformes lex specialis – c’est-à-dire celles qui précisent les règles pour des domaines plus spécifiques. À l’agenda de la Commission européenne figure notamment la réforme de la directive de 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive « vie privée et communications électroniques » ou « ePrivacy »)[1]. La Commission européenne vient de lancer une consultation en ligne et espère publier sa proposition de réforme d’ici la fin de l’année 2016. L’AEDH participera à la consultation en ligne et surveillera de près les évolutions de cette directive car il s’agit d’un secteur-clé pour rendre la protection de nos données personnelles effective.

Plusieurs aspects de cette réforme méritent une attention particulière afin d’éviter de possibles contradictions, incohérences ou duplications avec les nouvelles règles contenues dans le GDPR. C’est le cas notamment du montant des amendes et des obligations de notification pour les entités responsables du traitement des données personnelles. Ces deux éléments étant désormais couverts par le GDPR, il est préférable que la directive « ePrivacy » n’établisse pas de règles additionnelles en la matière car cela risquerait d’engendrer de la confusion et de possibles incohérences. Au nom de la cohérence également, certains souhaitent l’adoption d’un règlement plutôt qu’une directive afin d’établir des règles directement applicables dans tous les pays de l’Union,[2] qu’elles soient générales ou lex specialis. Il s’agit en effet d’une piste intéressante afin d’éviter une fragmentation des règles au sein de l’Union européenne. Il faudra également veiller à ce que les obligations du GDPR en matière de transparence et de consentement des utilisateurs ne soient pas revues à la baisse dans le cadre de cette réforme.

La question des régulateurs constituera également un aspect important : il conviendra de choisir les organes responsables du contrôle et de la supervision des règles mises en place. L’AEDH partage l’idée selon laquelle la régulation doit revenir aux autorités de protection des données plutôt qu’au BEREC (Organe des Régulateurs Européens des Communications Electroniques), car ces premières sont plus proches des citoyens et mieux placées pour garantir notre droit à la confidentialité et notre liberté de communication. D’autres pistes telles qu’une supervision commune pourraient également être envisagées.

Plus généralement, plusieurs questions importantes devront être réglées dans le cadre de la révision de la directive « ePrivacy ». En particulier, la question du champ d’application est cruciale : la définition des services de télécommunications constituera un élément-clé car de nombreux services sur internet qui s’apparentent à des services de télécommunications se sont développés ces dernières années – par exemple les messageries « over-the-top » ou « services par contournement » tels que Whatsapp, Facebook, Skype, etc. Afin d’assurer une concurrence équitable et un cadre juridique cohérent, il semble indispensable que les règles en matière de confidentialité soient les mêmes pour tous les types de télécommunications.

La réconciliation du droit à la confidentialité avec d’autres objectifs d’intérêt public (comme la protection des mineurs) fera également l’objet d’importantes discussions, tout comme les règles en matière d’utilisation des cookies. Enfin, certains acteurs souhaitent faire de cette réforme l’occasion de préciser les règles concernant l’accès aux données par les services de renseignements et les autorités de police. Cette question est très sensible dans le contexte actuel et fait l’objet de nombreux débats, comme l’a montré le récent conflit entre Apple et le FBI américain, ce dernier ayant souhaité accéder au contenu d’un iPhone dans le cadre de l’enquête sur les attentats de San Bernardino. Même si ce conflit a lieu outre-Atlantique, il marque bien une tendance à une surveillance généralisée.

Pour toutes ces raisons, il convient de suivre de près la réforme de la directive « ePrivacy », afin de s’assurer que des règles plus spécifiques ne viennent pas remettre en cause les règles générales sur la protection des données. Les débats sont loin d’être terminés : restons vigilants !

 


[1] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

[2] En effet, un règlement s’applique directement alors qu’une directive doit être transposée dans le droit national – ce qui peut entrainer des disparités entre Etats membres.

 

Compte AEDH