31/12/15

2016, l'année d'équilibre pour les données personnelles ?

En matière de données personnelles, l'année 2016 sera l'année de la recherche de nouveaux équilibres. Depuis juin 2013, date des premières révélations d'Edward Snowden, la plupart des européens ont réellement pris conscience de ce qu'ils savaient déjà : toutes les technologies actuelles permettent de suivre nos vies et de nous profiler dans les moindres détails et ceci quelquefois dans l'illégalité. Cela ne se limite pas aux activités de surveillance mais concerne également les activités civiles et commerciales. Très logiquement, les années 2014 et 2015 ont été des années durant lesquelles le droit fondamental à la protection des données personnelles a pesé très lourd, au point de mettre en cause l'activité de surveillance de certains Etats, mais également les pratiques de certains géants du numérique. Ainsi, la Cour de justice de l'Union Européenne (CJUE), a considéré que le choix opéré par certains grands groupes quant à leur lieu d'établissement ne pouvait les mettre à l'abri de l'application des lois locales de protection des données personnelles (affaire dite Google Spain). La CJUE a également considéré que même s'il était légitime de vouloir conserver des traces des appels téléphoniques, notamment pour des raisons de sécurité, la rétention automatique pour une durée préfixe des données de connexion de tous les résidents européens était illégale. En conséquence, la CJUE annula la directive de 2006 relative à la rétention des données personnelles qui avait été adoptée au lendemain des attentats de Madrid et Londres de 2004 et 2005. Enfin, la CJUE, dans une affaire mettent en cause Facebook, n'a pas hésité à déclarer qu'une décision de la Commission européenne acceptant que des données personnelles soient transférées de l'Europe vers les Etats-Unis, sur base d'une certification dont le contrôle s'opère aux Etats-Unis (certification Safe Harbor), était illégale (affaire dite Schrems).

Ces décisions de la CJUE ne sont pas isolées. D'autres décisions judiciaires nationales ou d'autorités nationales de protection des données personnelles ont également mis un frein à certaines pratiques. Pour la Belgique, la dernière en date est celle interdisant à Facebook de collecter des données de personnes tierces au réseau social éponyme.

La réaffirmation légitime du droit fondamental à la protection des données personnelles pose néanmoins certains problèmes économiques ou de sécurité.  Il est évident que l'annulation du Safe Harbor fait peser une incertitude sur les échanges commerciaux transatlantiques à une époque où l'économie européenne manque de tonus. De même, les attentats de Paris et l'alerte maximale qu'a vécue récemment Bruxelles confirment que la sécurité demeure un souci important dont la résolution passe notamment par la surveillance des personnes.

L'urgence des défis est claire. L'année 2016 sera donc cruciale. Sur le plan civil et commercial, l'année devrait débuter par l'adoption du nouveau règlement général sur la protection des données personnelles.  Ce règlement remplacera la directive de 1995 adoptée à une époque où l'internet pour le grand public était balbutiant. En matière de coopération policière et judiciaire, une nouvelle directive devrait également remplacer la décision-cadre de 2008. Du point de vue transatlantique, les ponts qui furent détruits entre l'Europe et les Etats-Unis devraient se reconstruire sous peu. En effet, l'Europe et les Etats-Unis ont déjà conclu un umbrella agreement  en matière de coopération policière et judiciaire qui pourra entrer en vigueur lorsque notamment certains droits seront reconnus devant les tribunaux américains aux citoyens européens. Les modifications législatives à cet égard sont en discussion. Il en est de même du Safe Harbor pour ce qui concerne la collecte de données personnelles pour des besoins civils ou commerciaux.  La Commission européenne et la Federal Trade Commission  négocient, en effet, dans l'urgence un nouveau cadre qui devrait résoudre l'incertitude actuelle.

Parallèlement à ces projets qui constituent les fondations de la protection des données personnelles, d'autres chantiers devraient également aboutir prochainement : l'adoption d'une nouvelle directive sur la rétention des données téléphoniques, l'accord sur la collecte des données de passagers (Passenger name record), l'adoption de la directive dite cybersécurité et la révision de la directive e-privacy.  L'horizon semble donc se dégager. Mais la vigilance restera de mise, le droit à la protection des données personnelles est un droit fondamental consacré par la Charte des droits fondamentaux de l'Union européenne et tous les textes en chantier devront passer par ce tamis.  Les discussions seront donc vives. A titre d'exemple, le Contrôleur Européen de la protection des données personnelles vient de déclarer officiellement à la presse que l'accord Passenger name record tel qu'envisagé pour l'instant serait, selon lui, tout simplement illégal.

dotted_texture