Document à l’appui de l’ébauche des nouvelles réglementations relatives à la protection des données personnelles qui sont au sein des débats de l’Union Européenne, les groupes European Digital Rights (EDRi), Privacy International, Access et Panoptykon Foundation ont estimé que les mesures prises par l’Union Européenne sont en train de devenir une coquille vide pratiquement inutile.
Il faut dire que la Commission Européenne ainsi que le Parlement avait déjà ratifiés cette ébauche de réglementation qui cherchait à moderniser les mesures de protection de données en prenant par exemple en considération les nouvelles technologies numériques.
Cependant, un organe législatif devait également ratifier cette ébauche : le Conseil de l’Union Européenne, qui est composé des ministres des Etats membres de l’UE. « Malheureusement, au sein du Conseil de l'UE, les gouvernements des Etats membres travaillent à saper ce processus de réforme. Durant plus de trois ans, le Conseil n'a pas seulement échoué à afficher un soutien à cette réforme et aux négociations, mais propose désormais des modifications du texte qui pourraient abaisser le niveau de protection actuel des données en Europe » dénoncent les groupes de protection de la vie privée dans un rapport.
En marge de ces documents, les groupes ont publié un comparatif du texte approuvé par le Parlement et des changements proposés par le Conseil ainsi que l’analyse des changements proposés. L’un des droits proposés qui se verrait affecté par les changements du Conseil est le droit de ne pas être pisté par les entreprises sans son consentement explicite. Le Conseil suggère par exemple le fait de ne pas changer les modifications par défaut d’un navigateur pour empêcher le suivi ou le fait de ne pas réinstaurer certains paramètres constituent un consentement d’être suivi et profilé en ligne. Une nouvelle loin d’être réjouissante pour les non technophiles. En effet, le Conseil estime que « le droit à la protection des données personnelles n’est pas un droit absolu » et qu’il « doit être tributaire de sa fonction dans la société et être équilibrés avec d’autres droits fondamentaux, conformément au principe de proportionnalité ».
De plus, le Conseil propose que les données personnelles puissent être traitées en vertu d’une exception « d’intérêt légitime ». Cela signifie que le consentement n’est plus nécessaire dans le cas où l’entreprise estime avoir un intérêt légitime à traiter des données personnelles. « Ces données pourraient être transmises à des tiers sur la base de cette exception d'intérêt légitime et ces tiers pourraient utiliser cette exception pour commencer à traiter des données pour des finalités sans aucun lien ou incompatibles avec l'objectif initial » s’inquiètent les groupes.
Il a aussi proposé de supprimer l’article 11 du texte qui impose des obligations concrètes sur la façon dont les individus, et surtout les enfants, doivent être informés dans « des politiques concises, transparentes, claires et facilement accessibles » sur la façon dont leurs données seront utilisées.
En outre, les pays se verraient octroyer la possibilité de pister des citoyens pour des raisons de sécurité nationale, défense, sécurité publique ainsi que « d’autres objectifs importants d’intérêt public général ». Cette partie, qui faisait partie de l’ébauche élaborée par la Commission, a été supprimée par le Parlement mais réintroduite par le Conseil. « C’est essentiellement comme fournir un chèque en blanc aux gouvernements qui, sous divers prétexte, pourraient commencer à suivre le profil d’individus en fonction de leurs activités politiques en ligne et de préparer, par exemple, des listes noires de personnes ne correspondant pas au profil des citoyens ‘normaux’ », a expliqué le groupe.
Un autre problème évoqué sur les propositions est le fait qu’une entreprise puisse déterminer elle-même si une brèche dans la sécurité des données comporte un risque suffisamment élevé pour en notifier ses clients. Le rapport estime que ce serait porter atteinte à la vie privée des individus tout en réduisant considérablement les incitations à une amélioration de la sécurité des données des entreprises. D’ailleurs l’ébauche de loi enlève la possibilité de mener des actions collectives dans le cas où des données personnelles ont été prises ; elle conseille à la place la plainte auprès des régulateurs plutôt que de faire face à l’entreprise dans une cour de justice. Des membres feraient également pression en faveur de sanctions plus légères, inférieures aux 5% de CA annuel prévus initialement.
Le guichet unique, qui était au départ censé apporter une simplification administrative, est en passe de se complexifier : dans le cas de plaintes transnationales mettant sur scène de grandes entreprises dans l’UE, au moins deux autorités de protection devraient être impliquées. Le Bureau européen de la protection des données interviendrait lui en cas de conflit dans la résolution d'un litige entre deux autorités ou plus.
Pour l’EDRi, « si rien n’est fait dans l’urgence, le Conseil fera passer tout simplement ses modifications », rajoutant que dans ce cas seul le Parlement pourrait influer sur la réforme portant sur la protection des données en UE. Les ministres de la justice doivent se réunir le 13 mars pour discuter de la réglementation sur la protection des données.
Source : document (au format PDF)
UE : des groupes de défenses de la vie privée exposent leur pessimisme
Sur les modifications apportées à la protection des données personnelles
UE : des groupes de défenses de la vie privée exposent leur pessimisme
Sur les modifications apportées à la protection des données personnelles
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !