La bataille a été longue et les discussions houleuses. Mais l’Union européenne a réussi mardi 15 décembre, après quatre années de débats acharnés, à trouver un accord pour renforcer la protection des données personnelles. Le Parlement européen, le Conseil européen et la Commission européenne se sont enfin entendus pour adapter, à l’ère de l’Internet grand public et des géants du Web, la directive qui régissait ce domaine depuis… 1995.
La discussion portait sur deux textes : un règlement sur la protection des données (applicable automatiquement, il s’impose aux Etats) et une directive spécifique concernant les données utilisées par la police et les autorités judiciaires qui devra être transposée dans le droit national de chaque Etat membre.
Lire aussi : L’UE impose un contrôle parental sur les réseaux sociaux aux moins de 16 ans
Très attendu, le règlement donnera aux citoyens de l’Union européenne un plus grand contrôle de leurs données personnelles, ces informations recueillies en masse par les services Internet et les plates-formes comme Facebook, Google, YouTube, Snapchat ou encore les fabricants de terminaux mobiles tel Apple.
Les entreprises accédant à ces données dans un but précis ne pourront, par exemple, plus les transférer pour un autre usage sans l’accord explicite des utilisateurs. Les internautes devraient, en outre, disposer d’un droit à la portabilité, c’est-à-dire que leurs fichiers et autres informations les concernant et stockés dans un service pourront être exportés vers une autre plate-forme s’ils le veulent. D’un réseau social à l’autre ou encore d’une application de stockage de photos à une autre. Surtout, l’accord inscrit dans les textes le droit à l’oubli, appliqué de manière partielle dans l’Union depuis 2014 en vertu d’une décision de la Cour de justice de l’Union européenne.
Lire aussi : Données personnelles : la situation reste floue après l’annulation de l’accord Safe Harbor
Des amendes colossales pour les géants du Net
Autre changement : la possibilité pour les utilisateurs de contester la publicité ciblée, permise par le recueil massif et le traitement de leurs données.
S’ils contreviennent à ces règles, les géants du Net et autres entreprises voraces en données personnelles risquent des sanctions plus importantes qu’auparavant : les amendes pourraient atteindre jusqu’à 4 % de leur chiffre d’affaires, une somme colossale pour des groupes qui enregistrent plusieurs dizaines de milliards de dollars par an de revenus.
Lire aussi : Les géants du Net ne pourront plus stocker aux Etats-Unis les données des Européens
Pour s’assurer du respect de la directive par les géants du Net, l’Union a souhaité que ces multinationales se dotent d’un responsable de la protection des données.
Les PME voient, en revanche, certaines de leurs procédures simplifiées : elles seront dispensées d’un grand nombre de tâches administratives auxquelles elles étaient soumises auparavant. Plus besoin, par exemple, de faire de notifications préalables aux autorités de protection des données nationales pour l’utilisation de certaines informations. Ou pour l’établissement de bases de données, quand, manifestement, elles ne contreviennent pas à la législation. Ou qu’elles ne sont pas massives.
Meilleure sécurité juridique aux entreprises
Dans le cas d’un litige, une seule autorité de régulation ou équivalent de la CNIL (Commission nationale de l’informatique et des libertés) sera compétente : celle du pays où l’entreprise a son siège.
Bruxelles compte beaucoup sur cette unification des règles européennes pour offrir une meilleure sécurité juridique aux entreprises, et en finir avec le patchwork législatif et administratif qui règne actuellement. Un maquis que certains dénoncent comme étant responsable de la difficulté à faire émerger un « Google européen ».
Outre les dispositions concernant les citoyens lambda et les entreprises, le règlement comporte une mesure controversée, apparue dans la dernière ligne droite des discussions : le contrôle parental. Selon le texte, les adolescents de moins de 16 ans ne pourront pas s’inscrire sur les plates-formes comme Facebook ou Snapchat sans l’aval des parents. L’âge pourra tout de même être ramené à 13 ans si le pays le souhaite. Une disposition qui pourrait, selon certains, tout simplement pousser les plus jeunes à mentir sur leur âge.
Lire aussi : La future loi Lemaire inquiète les professionnels du numérique
L’accord de mardi n’entre pas directement en vigueur. Il doit encore être confirmé par les représentants permanents des gouvernements de l’UE (une réunion d’ambassadeurs, qui pourrait intervenir au plus tard le 21 décembre) et doit être soumis au vote de la Commission des libertés civiles du Parlement européen jeudi 17 décembre. En raison des délais administratifs, il ne pourra pas être appliqué avant au moins deux ans.
