Quand les lobbies influencent la réforme européenne de la protection des données
L’Union européenne est en train de réformer sa législation sur la protection des données ; son entrée en vigueur n’est pas attendue avant 2016 bien que certains poussent pour cela arrive plus tôt.
Ces données étant utilisées par des sociétés privées pour réaliser des gains substantiels (citons au hasard Facebook, Google, Apple, Microsoft et Amazon), l’intérêt suscité par cette réforme est donc énorme. Et il pousse les groupes de lobbying (des entreprises américaines, mais aussi de représentants du gouvernement américain) à déployer des efforts considérables afin d’influencer au maximum la réforme dans un sens qui leur soit favorable.
La réforme en (très) bref
Parmi les changements proposés touchant directement les citoyens, on trouve notamment :
L’accès des personnes concernées à leurs propres données sera facilité, de même que le transfert de données à caractère personnel d’un prestataire de services à un autre (droit à la portabilité des données). La concurrence entre prestataires de services s’en trouvera renforcée.
Un «droit à l’oubli numérique» aidera les citoyens à mieux gérer les risques liés à la protection des données en ligne : ils pourront obtenir la suppression de données les concernant si aucun motif légitime ne justifie leur conservation (ce droit ne serait pas considéré comme un droit fondamental, mais seulement une prérogative du citoyen contre le détenteur des données, ndr).
Les règles de l’Union devront s’appliquer si des données à caractère personnel font l’objet d’un traitement à l’étranger par des entreprises implantées sur le marché européen et proposant leurs services aux citoyens de l’Union.
Dans un projet de rapport sur la proposition de règlement sur la protection des données, un passage permet de mieux saisir le but de la réforme.
Le droit à la protection des données à caractère personnel est basé sur le droit de la personne concernée d’exercer un contrôle sur les données à caractère personnel qui sont traitées. À cette fin, la personne concernée devrait se voir accorder des droits clairs et sans ambiguïté concernant la fourniture d’informations transparentes, claires et aisément compréhensibles quant au traitement de ses données à caractère personnel, ainsi qu’un droit d’accès, de rectification et d’effacement de ses données à caractère personnel, un droit de portabilité des données et le droit de s’opposer au profilage. En outre, la personne concernée devrait également avoir le droit de déposer une réclamation contre le traitement de données à caractère personnel par un responsable du traitement ou un sous-traitant auprès de l’autorité de contrôle compétente et d’engager une action en justice pour faire valoir ses droits, ainsi que le droit d’obtenir réparation et de percevoir une indemnisation en cas d’opération de traitement illégale ou d’actions contraires au présent règlement. Les dispositions du présent règlement devraient renforcer, clarifier, garantir et, le cas échéant, codifier ces droits.
N.B. : Jan Philip Albrecht, un rapporteur du Parlement européen, a mis sur pied un site “Déclaration de Bruxelles” demandant expressément au Parlement européen de prendre des mesures pour protéger la vie privée.
Les craintes des États-Unis (et des autres)
La Mission américaine auprès de l’Union européenne a dressé une longue liste d’inquiétudes, bien qu’elle reconnaisse que les États-Unis et l’Union européenne poursuivent les mêmes buts en matière de protection des données et de vie privée, tout en garantissant la croissance économique et le libre commerce.
Un Conseiller d’Ambassade américain, John Rodgers, a récemment déclaré à Berlin qu’un droit à l’oubli numérique ne serait pas faisable techniquement et qu’il mettrait en péril les sociétés à travers le monde. Il estime aussi que le projet de réglementation européenne, en l’état, pourrait constituer une déclaration de guerre économique.
D’autres estiment, peut-être avec raison au vu de l’état actuel du projet de réglementation européenne, que les sociétés auront beaucoup de difficulté à prouver qu’elles ont les bases suffisantes pour traiter les données personnelles des utilisateurs. Cela pourrait même remettre en cause les conditions générales d’utilisation car leur approbation ne démontrerait pas nécessairement le consentement de l’utilisateur pour le traitement de ses données personnelles. Le projet prévoit en effet que pour être licite, “le traitement devrait être fondé sur le consentement spécifique, informé et explicite de la personne concernée ou sur tout autre fondement légitime prévu par la législation” (Amendement 17 du Projet). De plus, “le consentement ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement” (Amendement 20 du Projet).
Eduardo Ustaran, avocat, va même plus loin en affirmant que le projet de règlement mettrait fin aux modèles économiques de Facebook et Google. Selon lui, ils ne pourraient plus utiliser les données personnelles de façon profitable, ce qui aurait pour conséquence de l’abandon de la gratuité de leurs services pour les Européens.
… poussent au lobbyisme massif
La presse et le web s’en font l’écho depuis lundi. Viviane Reding, Vice-Présidente de la Commission européenne et Commissaire européenne à la justice, aux droits fondamentaux et à la citoyenneté, a affirmé n’avoir jamais vu un tel déploiement de moyens pour influencer la réforme de la protection des données. Joe McNamee, de European Digital Rights (EDRI), a déclaré à Ars Technica que “rien, pas même ACTA, n’avait engendré un tel lobbyisme à Bruxelles de la part des États-Unis”.
Ce lobbyisme n’aurait pas comme unique but d’empêcher ou d’affaiblir la réforme de la protection des données, mais il viserait aussi à affaiblir les dispositions existantes.
LobbyPlag, un site listant les changements proposés par les lobbies et adoptés comme amendements par les Commissions du Parlement européen, a révélé un phénomène troublant : certains changements proposés par les lobbies sont repris mot pour mot comme amendements !
Ainsi, un grand nombre d’amendements proposés par la Chambre Américaine du Commerce, Amazon ou eBay ont été littéralement copiés-collés. Probablement sans même qu’un membre des commissions du Parlement européen ne se pose la moindre question.
Mais le problème n’est pas vraiment là. Il réside dans le fait que toutes ces propositions sapent l’efficacité des dispositions européennes ainsi que le droit fondamental des Européens à la vie privée et à la protection des données.
Parmi les amendements proposés par les lobbies, on en trouve qui sont parfois totalement à l’opposé des souhaits de la Commission européenne. Par exemple :
- Ne pas imposer aux entreprises d’instaurer un responsable à la protection des données ;
- Autoriser les sociétés à partager des données personnelles avec d’autres entités qui auraient un “intérêt légitime” à traiter ces données ;
- Supprimer les dispositions relatives au consentement explicite de l’utilisateur pour le traitement des données personnelles ;
- Empêcher les utilisateurs d’accéder de manière électronique à leurs données personnelles traitées par un tiers.
Le vote final de la Commission (du Parlement européen) Libertés civiles, justice et affaires intérieures est attendu pour avril 2013. D’autres Commissions (notamment Marché intérieur et protection des consommateurs, et Industrie, recherche et énergie) ont déjà soumis à la première leurs avis, ou vont le faire sous peu. Celle-ci présentera ensuite ses recommandations au Parlement, qui votera sur le projet. S’il l’approuve, il restera encore au Conseil de l’Union européenne de l’accepter afin qu’il entre en vigueur.
Bref, le Parlement se prononcera bientôt sur cette réforme dont l’efficacité est minée jour après jour par de puissants et malhonnêtes lobbies. Il faudra encore beaucoup d’efforts pour que la réforme passe la rampe et protège mieux les Européens.