Pour une meilleure protection des libertés et des droits des personnes dans l’UE
Contribution de Creis-terminal
Une analyse de l’objet de la nouvelle directive proposée par la Commission européenne
En vue de l’élaboration d’une nouvelle directive, la Commission européenne a lancé une consultation en diffusant le texte d’une communication 2 qui, dans un deuxième temps, donnera lieu à des « propositions et mesures concrètes de nature à la fois législative et non législative ».
Une des grandes questions que nous nous posons à la suite de l’étude de cette communication porte sur la finalité de la future directive. A quoi, à qui s’appliquera la protection qui en découlera ?
En effet, dans l’intitulé de la directive de 1995 la protection s’appliquait aux « personnes physiques » alors que dans l’intitulé de la communication elle s’applique aux « données à caractère personnel ». Ce changement d’intitulé ne peut être considéré comme anodin.
Cette différence de formulation, voire d’orientation, entre la directive européenne de 1995 et la communication de la Commission se retrouve dans les articles qui traitent de l’objet de ces textes.
L’objet de la directive de 1995 (article 1) est la « protection des libertés et droits fondamentaux des personnes physiques notamment de leur vie privée, à l’égard du traitement des données à caractère personnel »3. Il n’en est plus de même dans la communication dont l’objet est de « garantir une application cohérente des règles de protection des données » ; l’objectif étant d’ « assurer la libre circulation des données à caractère personnel dans le marché intérieur ».
Pourquoi vouloir remplacer « protection des libertés et droits fondamentaux des personnes physiques » par « protection des données à caractère personnel » ? L’acception courante de cette dernière expression renvoie plutôt à l’idée de sécurité des données et non de protection des libertés et des droits des personnes.
Pour notre part, nous demandons le maintien de la primauté de la protection des libertés et des droits fondamentaux des personnes. Assurer une meilleure protection de la vie privée, des libertés et des droits fondamentaux des personnes ne saurait être considéré comme une charge ou une entrave à la circulation des données dans le marché intérieur à partir du moment où les règles sont les mêmes dans tous les pays de l’Union. Nous réaffirmons que la dimension « marché intérieur » et que les intérêts des multinationales, en particulier leur préoccupation de voir allégée leur charge administrative, ne sauraient être prétexte à un affaiblissement de la protection des libertés et des droits des citoyens.
Bien que cette communication de la Commission comporte un certain nombre de principes et d’orientations que nous approuvons, nos craintes subsistent quant aux mesures concrètes et aux traductions législatives qui seront décidées à l’issue de la consultation et qui feraient la part trop belle aux impératifs du marché intérieur au détriment des libertés et des droits fondamentaux des citoyens.
La contribution de CREIS-Terminal pour la nouvelle directive : orientations et propositions
- Garantir aux personnes une protection adéquate Pour nous l’objet de la future directive devrait être la protection des libertés et des droits fondamentaux des personnes physiques notamment de leur vie privée, à l’égard des traitements de données à caractère personnel dans un cadre harmonisé, cohérent et uniforme des règles de traitement des données au niveau de l’UE et des pays qui la composent . L’élaboration de cette nouvelle directive devrait se traduire par un niveau de protection plus élevé des libertés et des droits fondamentaux des citoyens des différents pays de l’Union, une meilleure harmonisation au sein de l’UE et une mise à jour indispensable face à l’évolution technologique et à la mondialisation.
- Accroître la transparence pour les personnes concernées
en renforçant le droit à l’information :
- notamment en rendant obligatoire la mention des raisons de la collecte, du type de données collectées (par exemple, par le bais de cookies), du type d’utilisation ultérieure, des noms des tiers à qui sont susceptibles d’être transférées les données (en y ajoutant un consentement), et de la durée de conservation ;
- en rendant obligatoire une charte "vie privée" sur les sites, lisible et accessible à tous.
- en rendant effectif le droit d’accès et de rectification (de nombreux organismes en ignorent même l’existence)
- en assurant une meilleure prise en compte des spécificités des réseaux sociaux et des conséquences qu’ils peuvent avoir sur les atteintes à la vie privée des personnes.
- Permettre aux intéressés d’exercer un meilleur contrôle sur les données les concernant
- en renforçant les principes de finalité et de proportionnalité (par exemple, en prévoyant des sanctions en cas de détournement de finalité) en rendant effectif (mesures techniques et pénales) le droit à l’oubli et le droit de retrait, par exemple, dans le cadre de relations commerciales ou sur les réseaux sociaux numériques
- en renforçant les règles en matière de consentement par le double opt-in ;
- par le choix offert au consommateur/citoyen en matière de pression commerciale (fréquence des relances commerciales) et de types de tiers/partenaires.
- Sensibiliser en inscrivant, pour tous les jeunes, dans les programmes scolaires un enseignement obligatoire des enjeux liés à la protection des libertés et des droits des personnes (voir la proposition élaborée par CREIS-Terminal pour les programmes des lycées).
- Protéger les données sensibles
- en étendant le champ des données sensibles, en particulier aux données biométriques (la communication ne mentionne que les données génétiques) et peut-être aussi aux données de géolocalisation, de vidéosurveillance et de cybersurveillance
- en restreignant les exceptions trop présentes dans la directive de 95.
- Renforcer l’efficacité des voies de recours et des sanctions, selon les propositions de la communication.
- Réviser les règles de protection des données dans les domaines de la coopération policière et judiciaire en matière pénale en ne faisant pas cohabiter dans un même fichier, diverses catégories de personnes (délinquants, suspects, victimes, témoins…) en veillant à ce que le principe de libre circulation des données à caractère personnel dans le marché intérieur ne conduise pas à une interconnexion généralisée de ces fichiers.
- Clarifier et simplifier les règles applicables aux transferts internationaux de données
Le « niveau de protection adéquat » étant difficile à définir, il serait plus simple et plus efficace de le remplacer par celui de « niveau de protection équivalent ».
- Renforcer les autorités nationales de contrôle en donnant des pouvoirs accrus à ces instances (la CNIL en France), en augmentant les moyens dont elles disposent, en revoyant leur composition (introduction des représentants d’associations et de syndicats par exemple).
En conclusion
Nous partageons le souci d’assurer un même niveau de protection dans tous les pays de l’Union, indépendamment du lieu d’établissement du responsable de traitement. L’harmonisation doit se faire en prenant en compte les meilleurs niveaux de protection dans chacun des pays de l’UE et en apportant des améliorations.
Pour nous, la protection des libertés et des droits fondamentaux relève d’abord de la loi. Nous sommes par conséquent très réservés face aux propositions de la Commission : « encourager les initiatives en matière d’autoréglementation "(codes de conduite) et « mesures non législatives ».
La modification de la directive de 95 doit avoir pour axe structurant une meilleure protection des libertés et des droits fondamentaux des personnes. Ce sont ces droits qui induisent des règles pour la libre circulation des données à caractère personnel dans le marché intérieur, et non l’inverse.