LES ENJEUX EUROPEENS ET MONDIAUX DE LA PROTECTION DES DONNEES PERSONNELLES Les évolutions technologiques offrent aujourd hui des opportunités économiques sans précédent. Parallèlement, on assiste à une prise de conscience générale de l importance des droits et libertés numériques. L adoption d un cadre européen solide en matière de données personnelles permettrait de relancer la croissance économique tout en garantissant aux citoyens européens une protection élevée de leurs droits. I. LES ENJEUX DU DROIT DE LA PROTECTION DES DONNÉES PERSONNELLES A. LES DROITS FONDAMENTAUX DE LA PERSONNE PHYSIQUE Par les arrêts remarqués du 8 avril 2014 «Digital Rights Ireland» et du 13 mai 2014 «Google Spain», la Cour de Justice de l Union Européenne (CJUE) se positionne en gardienne des droits fondamentaux dans l environnement numérique. Ses prises de positions fermes sont autant d indications envoyées à l attention du législateur européen et national. Il est important de souligner que l encadrement jurisprudentiel et législatif n a pas pour objectif d interdire ou de restreindre les traitements de données personnelles. Au contraire, cette législation a vocation à les encourager tout en protégeant les droits fondamentaux de la personne prévus par la Charte. Le droit à la vie privée de l article 7 et le droit à la protection des données personnelles de l article 8 sont particulièrement visés. Ces droits peuvent toutefois être limités dès lors que l ingérence prévue par le législateur respecte le principe de proportionnalité. La mesure visant la limitation des droits fondamentaux doit poursuivre un objectif d intérêt général reconnu par l Union européenne. Elle doit être appropriée et pertinente au regard de l objectif visé ainsi qu être strictement nécessaire, c est-à-dire qu aucune mesure alternative moins attentatoire ne pourrait la remplacer.
A côté de l application des droits fondamentaux de la personne classique, de nouveaux droits de la personne dite numérique ont émergé. Ces droits sont de nouvelles applications des droits de la personne concernée prévus par la directive 95/46/CE. Ainsi, l obligation de sécurité du traitement des données et le droit à l information face aux failles de sécurité et risques de violations se trouvent renforcés en réponse aux risques accrus de piratages ou de vols de données. Dans le même temps, l adoption d une norme de sécurité commune par l Union européenne afin de s assurer de la mise en place pratique de mesures appropriées est devenue nécessaire. La banalisation des pratiques de profilage nécessite également un renforcement des droits de la personne concernée. Le profilage permet une analyse de données massives afin d établir des corrélations permettant la découverte de connaissances nouvelles pouvant être appliquées à une personne ou un groupe donné. La possibilité de prise de décision relative à une personne physique sans aucune intervention humaine dans un processus totalement informatisé soulève de nombreuses questions. Qui plus est, ce profilage, opéré tant par des opérateurs privés que par des opérateurs publics, est généralement fait dans la plus grande opacité. Dans le cadre de l avènement de nouveaux droits, le droit dit «à l oubli» est le plus connu. A cet égard, il est régulièrement prétendu que l arrêt «Google Spain» consacre un véritable droit à l oubli. La CJUE aurait ainsi anticipé la future adoption de l article 17 du Projet de Règlement relatif au droit à l effacement. Une telle assertion est fausse. La CJUE ne met pas en place un droit à l oubli, mais un droit au déréférencement des liens apparaissant sur les résultats des moteurs de recherches. La mémoire éternelle de l Internet impose d encadrer et de prévoir des moyens permettant de rendre inaccessible des informations pouvant être considérées comme inappropriées ou excessives. Un tel acte doit toujours être envisagé dans le cadre d une balance des intérêts en cause (notamment le droit à l information ou la liberté d expression) en fonction des caractéristiques particulières de chaque demande. Ainsi l inaccessibilité de l information peut se faire par d autres biais qu une suppression pure et simple. La restriction de l accès à l information litigieuse ou l anonymisation de cette dernière peuvent être des moyens alternatifs à envisager. 2
La jurisprudence européenne prône un renforcement des droits de la personne tout en opérant une balance entre les différents intérêts en présence. Cette approche est consacrée par le Projet de Règlement qui reconnaît de manière expresse le droit à l effacement, la pratique du profilage ou encore l obligation de sécurité et d information en cas de faille de sécurité. B. L APPLICATION DU DROIT À LA PROTECTION DES DONNÉES PERSONNELLES DANS LES SECTEURS BANCAIRE ET FINANCIER Dans le domaine bancaire et des paiements en ligne, la prévention des fraudes et des impayés oblige les professionnels à évaluer le degré de risque des clients et à les classer selon des profils-types. Une telle pratique, bien que poursuivant un objectif d intérêt général, peut se trouver en discordance avec la législation de protection des données. L absence de concertation entre ces deux domaines ainsi que l absence de prise en compte des obligations de la protection des données personnelles dans les législations sectorielles rend nécessaire une future convergence entre ces deux matières. Dans le même sens, l obligation d implémenter des moyens techniques, destinés à répondre aux exigences de sécurité et de protection des données de paiement, impose au législateur de mettre en place un véritable standard européen de sécurité. Dans le secteur des services financiers, un cycle de réformes a été engagé afin de rendre le secteur plus sûr et plus résilient. Ces propositions, visant essentiellement les personnes morales, ont aussi une incidence sur les personnes physiques clientes ou professionnelles. Or, le droit de la protection des données personnelles leur est également applicable. La collusion entre ces deux droits, due notamment à l absence de concertation, n est pas sans risque. En effet, la CJUE a eu l occasion d invalider la directive 2006/24/CE dans l arrêt «Digital Rights Ireland» précité en raison de l absence de proportionnalité dans le traitement des données. De nombreuses législations fiscales imposant des traitements massifs de données pourraient se trouver dans cette situation à défaut de cadre légal précis protecteur des droits fondamentaux. Or, avec la coopération administrative fiscale imposée par l OCDE, on assiste à un fléchissement de ces droits. C est particulièrement le cas dans le cadre de la mise en place de l échange automatique d informations entre différents Etats. 3
Les dispositions de la protection des données personnelles doivent dès lors être prises en compte dans ces domaines, que cela soit par le législateur européen dans le cadre de la coopération fiscale ou par le législateur national dans le cadre de sa politique fiscale intérieure. II. LES APPORTS ATTENDUS DU RÈGLEMENT GÉNÉRAL DE LA PROTECTION DES DONNÉES L objectif affiché du Règlement est de permettre une application effective et harmonisée de ses dispositions dans la pratique. Il est régulièrement rappelé qu est visé un niveau de contraintes équivalent à celui applicable en matière de concurrence. A. L EXTENSION DU CHAMP D APPLICATION TERRITORIAL Bien que le projet de Règlement soit en cours de négociation et donc susceptible de modifications, certaines dispositions ne devraient pas évoluer. C est notamment le cas du critère du champ d application territorial. Un nouveau critère doit être ajouté à ceux préexistants. Il s agit du critère dit «de destination», déjà utilisé en matière de propriété intellectuelle ou de commerce électronique. Le Règlement s appliquera dès lors que le traitement des données aura pour but d offrir des biens ou des services à l attention des citoyens européens ou aura pour but l observation de comportements des citoyens européens (Article 3). En vertu de cette disposition, les entreprises n ayant aucune présence dans le territoire de l Union européenne devront respecter les dispositions européennes en matière de données personnelles dès lors qu elles ont pour client des citoyens européens. Concernant le transfert des données entre l Union européenne et les Etats-Unis, à la lumière des révélations d Edward Snowden et du scandale de la surveillance massive de la NSA, des négociations ont été entamées. Elles visent une profonde refonte des règles du Safe Harbor permettant le transfert de données vers les Etats-Unis par des entreprises privées. Dans le même sens, un accord cadre international dit «Umbrella Agreement» avec les Etats-Unis est en cours de négociation. Il a pour but de garantir aux citoyens européens un niveau de protection élevé en cas de transfert de données vers les Etats-Unis dans le cadre de la coopération policière et judiciaire. 4
Les entreprises américaines ont pris en compte les effets néfastes d une perte de confiance des consommateurs. Ces entreprises font aujourd hui volte-face, affirmant qu elles mettent en place des politiques de protection des données personnelles accrues. B. LA RESPONSABILITÉ ACCRUE DES RESPONSABLES DU TRAITEMENT L une des grandes évolutions du Règlement est la responsabilisation accrue des responsables du traitement. Elle se place dans le contexte d une synergie entre opportunité économique et regain de confiance des consommateurs. Une économie numérique de confiance constitue un élément de différenciation et de compétitivité. Sans la confiance des consommateurs, le potentiel du marché numérique ne pourra être exploité. La responsabilisation accrue passe d abord par le durcissement des sanctions financières : actuellement des amendes atteignant 100 millions d euros ou 5% du chiffre d affaires annuel mondial sont prévues. Le durcissement des sanctions ne doit pas être compris comme une consécration d un régime répressif. Il s agit au contraire d une politique d incitation de mise en conformité par les entreprises. Il s agit de mettre en place un véritable dialogue avec les autorités chargées de la protection des données. La suppression ou du moins la réduction des formalités administratives va permettre à ces dernières de passer du rôle de centre administratif à une véritable mission d accompagnement. Le déploiement de nouveaux outils juridiques de conformité tels que la labellisation ou encore la création de référentiels permettra d adapter la législation générale de protection des données aux caractéristiques sectorielles des différents domaines professionnels. Si la suppression des formalités administratives apporte un véritable soulagement pour les entreprises, il ne s agit pas non plus de leur fournir un pouvoir discrétionnaire, permettant aux entreprises de décider si elles sont conformes ou non à la législation. Au contraire, le pouvoir de contrôle a posteriori des autorités est renforcé et il est attendu des entreprises la mise en place obligatoire et de façon spontanée de mesures ou de moyens visant à respecter des dispositions du droit à la protection des données personnelles. 5
Dans le cadre des allègements administratifs un point reste en suspens. Il s agit du principe du «one stop shop», selon lequel une entreprise internationale implantée dans plusieurs Etats membres n aurait pour interlocuteur qu une seule autorité de contrôle. Actuellement, une telle situation impose aux entreprises de se conformer aux différentes législations et spécificités administratives de chaque Etat membre dans lesquels elles sont présentes. Ce principe soulève de nombreuses critiques notamment en termes de risque de forum shopping. Afin de palier à ce risque, un processus de codécision entre les différentes autorités de contrôle est envisagé. Le projet de Règlement européen est encore en cours de négociation entre la Commission européenne, le Conseil européen et le Parlement européen. Il devrait être adopté lors du second semestre 2015 et entrer en vigueur en 2017. 6