Réforme de la directive européenne sur la protection des données personnelles : Une critique pro-citoyens

Dans une première prise de position, la Digitale Gesellschaft loue sur le fond les lignes directrices de la Commission Européenne concernant la réforme de la protection des données personnelles. Cependant il reste quelques questions et certaines améliorations du projet paraissent nécessaires pour trouver une approche tout à fait adaptée à l’ère du numérique. En particulier la place du traitement des données à titre privé et local n’est pas assez pris en compte. En outre il y a des règles inutilement généreuses dans le cas d’un «intérêt fondé», qui peut remplacer l’accord des concernés pour permettre le traitement des données. L’organisation de la surveillance des données doit aussi être améliorée.

Une prise de position plus détaillée suivra plus tard. Il est possible de télécharger la tribune sous forme de PDF pour la partager ou l’imprimer, soit en allemand, soit en anglais, soit en français. Il ne faut pas s’étonner du style, habituel pour cette organisation.

L’association Digitale Gesellschaft (Société numérique) loue les améliorations désirées pour les utilisateurs et utilisatrices avec le nouveau projet de réglementation. Puisque la directive valide 95/46/CE n’est plus à jour dans sa forme actuelle et paraît particulièrement problématique quand à l’efficacité de son application au Netz, autant pour les acteurs étatiques que non-étatiques, la Digitale Gesellschaft suppose que le projet de la commission vise à résorber les problèmes du droit du traitement des données personnelles.

Fondamentalement, il faut juger correct l’extrapolation modernisante du droit du traitement des données personnelles en suivant l’autodétermination informationnelle de chacun et par là-même la réserve de son consentement. Certes les discussions des années précédentes ont sans cesse soulevé de nouvelles approches pour une refonte du concept, cependant il faut affirmer que toutes les propositions, comme considérer le traitement des données personnelles de manière analogue à celle des biens immatériels ou prévoir de généreuses exceptions à la règle du consentement, n’ont pas suffisamment correspondu au but attendu, non plus qu’elles améliorent les problématiques actuelles.

Que le projet de réglementation ne fasse pas de différence nette entre les lieux de traitement publics et privés est aussi louable pour la Digitale Gesellschaft. La redondance fondamentale du droit du traitement des données et la meilleure position de l’État dans le domaine de la surveillance de la protection des données était problématique, comme cela s’est montré plusieurs fois lors de défauts de capacité d’intervention des autorités de surveillance à l’occasion de fautes de la part du secteur public. Le projet de directive KOM(2012) 10 du 25/02/2012 visant à réglementer les traitements judiciaires et policiers des données ne sont pas concernés par ce problème. L’association Digitale Gesellschaft prendra plus précisément position sur ce point ultérieurement.

En revanche, du point de vue de la Digitale Gesellschaft, il est problématique que le projet de la commission ne donne aucun privilège au traitement local et autonome des données par les particuliers. Certes les frontières d’un tel traitement dans des environnements locaux ne sont pas faciles à délimiter, à une époque où les applications sont liées entre elles via des espaces de stockage locaux comme distants. Puisque le projet de réglementation poursuit cependant clairement l’objectif d’une influence politique sur les infrastructures du numérique dans le marché intérieur européen, il semble que l’introduction d’une réglementation privilégiée pour ce domaine est nécessaire : Pour pouvoir être efficace, un écosystème global de protection des données efficace nécessite des infrastructures décentralisées, sûres et indépendantes par défaut, ie sans consentement de l’utilisateur. Cela doit être amélioré.

La Digitale Gesellschaft considère absurde que le projet d’une réglementation des données ne doive pas embrasser tous les domaines déjà régulés par la directive dite E-Privacy. Selon la Digitale Gesellschaft, cela devra être rayé sans être remplacé lors de son entrée en vigueur, puisque la teneur de cette réglementation reste largement derrière celle du projet de la Commission et que cela aboutirait à l’existence de normes doubles pour des affaires similaires, ce qui contredit l’harmonisation désirée.

Un lac à l’auroreUn lac à
l'aurore

Tout à fait louable est aussi la nouvelle définition des moments d’application du droit européen de protection des données. En particulier si l’on prend en compte que, pour l’utilisateur des nouvelles technologies, il n’est pas évident de savoir sous quelle juridiction sont travaillées les données. Cela présente donc un jalon essentiel vers une modernisation nécessaire. À vrai dire, le projet de la Commission est trop faible. Le domaine spatial d’application défini dans l’article 3 du projet n’inclut pas, du fait de la formulation de l’article 3, alinéa 2a), le traitement des données exécuté sans but commercial et ne visant pas à leur conservation, mais visant à l’inventaire des données non conservées, comme par exemple des données sources. Cela laisse inutilement de la place pour de l’insécurité juridique.

La Digitale Gesellschaft loue l’approche consistant à exiger une interprétation consistante à l’échelle européenne du droit de la protection des données et à choisir pour ce l’instrument du règlement. En particulier, il faut louer la clarification du rôle des administrations de surveillance de la protection des données et l’unification des interprétations du droit, mais cela doit encore résister à l’épreuve des faits. Là, un mécanisme d’évaluation adapté manque.

Du point de vue de la Digitale Gesellschaft il faut aussi louer le droit à la portabilité des données. Ce droit est un jalon essentiel vers une vraie autonomie de l’utilisateur par rapport aux lieux de traitement des données, indépendamment du fait que la relation entre les parties concernées est d’abord de type analogique ou numérique. En particulier en ce qui concerne les scénarios de traitement des données classiques, comme par exemple l’évaluation de la solvabilité, le transfert d’un bloc de données par des formats Open-Source, numériques, et structurés ce sont des étapes importantes dans la bonne direction, celle de plus de transparence et de confiance.

En revanche, on ne peut pas féliciter les réserves formulées à quelques endroits qui font de la Commission la dernière instance de décision en cas de désaccord entre les autorités de surveillance. La Commission, en tant qu’organe exécutif chargé des affaires courantes, n’est pas la bonne institution pour trancher les désaccords entre les autorités de surveillance à propos d’interprétation juridique. En cas de désaccords graves entre les autorités de surveillance, ce devrait plutôt être quelqu’un d’étranger aux affaires courantes comme un conseil élu par ces autorités qui devrait pouvoir décider en dernière instance.

La Digitale Gesellschaft voit d’un excellent œil l’introduction proposée d’une possibilité de représentation des syndicats, institutions et organisations dans l’Art. 73 al. 2. Cela pourrait sûrement concourir à une prise en charge active des intérêts des parties concernées et ainsi faciliter l’application du droit.

Inadaptée est d’après la Digitale Gesellschaft la légitimité sous-entendue du traitement des données à des fins publicitaires. Le traitement et l’utilisation des données personnelles pour de la publicité directe ne peuvent pas constituer à eux seuls une justification d’après l’article 6 alinéa f selon l’interprétation de la Digitale Gesellschaft. Dans l’ensemble, il paraît contraire à l’esprit de la réglementation de faire une exception pour le marketing direct. S’y ajoute que le marketing direct n’est pas considéré différemment selon qu’il soit hors ou en ligne, ce pourquoi sa justification est problématique.

La Digitale Gesellschaft voit tout à fait positivement la réglementation visant à contrôler le traitement des données en dehors de l’Union Européenne. À vrai dire, les réglementations proposées ne sont pas suffisantes : en particulier, est insuffisamment régulée la question de l’accès aux données des citoyens de l’Union par les autorités et tribunaux des états tiers lorsque ces données sont stockées ou disponibles dans leur territoire. Le texte de l’article 40ff. ne correspond suivant nos estimations actuelles pas suffisamment aux problématiques nommées dans les considérations préliminaires 90 et 91.

Le principal problème est la question du protocole d’évaluation de l’adéquation des normes étrangères. Les cas problématiques depuis la directive 95/46/CE semblent ne pas pouvoir être essentiellement mieux régulés avec le nouvel instrument qu’avant. La Commission, le Parlement et les États-Membres sont tous appelés à travailler ensemble à une solution pour trouver un mécanisme efficace.

La Digitale Gesellschaft loue le cadre pénal adapté à l’importance du traitement des données que la Commission a proposé dans son projet. En particulier, les différentes possibilités d’échelle pénale, de même que la possibilité de l’infliction de sanctions et d’amendes contre les services publics aussi, paraissent être des pas importants sur le chemin d’un droit de la protection des données efficace. En combinaison avec l’action immédiate d’une réglementation, cela pourrait amener à des changements durables dans les actions des législateurs nationaux et aussi aller à l’encontre de la tendance actuelle des autorités de surveillance édentées à cause des directives précédentes.

Remarque finale : À propos du niveau du règlement sur la protection des données et de la protection fondamentale de l’autodétermination informationnelle.

Pour la Digitale Gesellschaft il est indubitable que le niveau de la protection des données de la réglementation doit offrir des protections au moins équivalentes aux garanties de droit constitutionnel définies dans la République Fédérale par la juridiction de la Cour Suprême. Chaque restriction du droit à l’autodétermination informationnelle ou du droit à la confidentialité et à l’intégrité des systèmes informativo-techniques par rapport au droit allemand conduira à un refus du projet de règlement et soulèvera d’énormes problèmes de droit constitutionnel et européen, qui ne peuvent être contournés que par le respect conséquent de ces mesures.

La Digitale Gesellschaft suivra activement et avec attention les développements des mois qui suivent.

Commentaires !

Vous pouvez discuter en temps réel dans le webchat ou en pointant votre logiciel jabber sur polnetz@conference.sploing.be.

Vous pouvez aussi me contacter par mail à netz@sploing.be.

Mais surtout, contribuez !

Pourboire et parrainage

Pourboire

Sploing ! Bécassine wants your money

Bécassine vous propose de me donner quelques sous pour le temps et l'argent investi dans la rédaction de l'article que vous avez lu et la maintenance du blog aux adresses suivantes.

Pour chaque don je vous embrasse virtuellement et vous envoie un petit mot doux.

Si vous ne savez pas ce que sont des bitcoins, voici une foire aux questions et une présentation des logiciels disponibles.

Parrainage

Pour 0,02 BTC=1LTC=10000DOGE

Vous pouvez parrainer cet article ou un article déjà existant.

Pour 0,04BTC=2LTC=20000DOGE

Vous pouvez me demander de traduire un article dont vous serez automatiquement parrain. Envoyez-moi un mail à netz@sploing.be pour les détails.