Réinventer la libre circulation des données personnelles (2/3) : Lesquelles ?

Par le 08/02/11 | 1 commentaire | 1,664 lectures | Impression

La Convention 108 du Conseil de l’Europe que nous évoquions récemment dans première partie de cette série n’est pas le seul texte international régissant la protection de la vie privée. En l’espèce, la règlementation en vigueur en Europe vise ainsi à réglementer la protection de la vie privée dans l’optique de la “libre circulation des données personnelles“.

En 1980, l’OCDE avait en effet publié des Lignes directrices régissant la protection de la vie privée et les flux transfrontiers de données de caractère personnel afin d’harmoniser la protection des données personnelles, mais également de faciliter leur échange à travers les frontières.

A l’époque, près de la moitié des pays de l’OCDE avaient adopté (ou étaient en passe de le faire) des législations relatives à la protection de la vie privée “en vue de prévenir des actes considérés comme constituant des violations des droits fondamentaux de l’homme, tels que le stockage illicite de données de caractère personnel qui sont inexactes, l’utilisation abusive ou la divulgation non autorisée de ces données” :

En revanche, il est à craindre que des disparités dans les législations nationales n’entravent la libre circulation des données de caractère personnel à travers les frontières; or, cette circulation s’est considérablement intensifiée au cours des dernières années et elle est appelée à se développer encore par suite de l’introduction généralisée de nouvelles technologies des ordinateurs et des télécommunications.

Des restrictions imposées à ces flux pourraient entraîner de graves perturbations dans d’importants secteurs de l’économie, tels que la banque et les assurances.

C’est pourquoi les pays membres de l’OCDE ont jugé nécessaire d’élaborer des lignes directrices qui permettraient d’harmoniser les législations nationales relatives à la protection de la vie privée et qui, tout en contribuant au maintien de ces droits de l’homme, empêcheraient que les flux internationaux de données ne subissent des interruptions.

Sans valeur contraignante, ces lignes directrices, élaborées par un groupe d’experts gouvernementaux placé sous la présidence d’un Australien, n’ont jamais été mises en œuvre par les Etats-Unis, mais ont inspiré la directive européenne de 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, qui constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel.

Les données de police, justice et renseignement ne sont pas des “données personnelles” comme les autres

Alors que la loi informatique et libertés avait été adoptée suite au scandale du projet SAFARI d’interconnexion, au profit du ministère de l’intérieur français, de l’ensemble des fichiers de l’administration, et que la Convention 108 avaient été adoptée en tant qu’outil de défense des droits de l’homme, la directive européenne exclue d’emblée les données personnelles traitées dans le cadre de la coopération policière et judiciaire en matière pénale, et donc l’ensemble des fichiers de police, de justice et de renseignement.

De plus, son objet n’était pas seulement d’encadrer la protection de la vie privée, mais également de consacrer la “libre circulation des données à l’intérieur de l’Union européenne en réduisant les divergences entre les législations nationales sur la protection des données“. Cette approche globale (.pdf) de la protection des données à caractère personnel permettait ainsi de sanctuariser “deux des plus anciennes et tout aussi importantes ambitions de l’intégration européenne” :

d’une part, la protection des libertés et droits fondamentaux des personnes, notamment du droit fondamental à la protection des données, et, d’autre part, la réalisation du marché intérieur, en l’occurrence, la libre circulation des données à caractère personnel.

De fait, la révision de la loi française dite informatique et libertés, en 2004, consacra cette évolution de la perception du droit à la vie privée en augmentant les pouvoirs de la CNIL au regard des fichiers privés, tout en les abaissant pour ce qui est du contrôle qu’elle peut exercer en matière de fichiers policiers (dits “de sûreté“) ou portant sur l’ensemble de la population (voir Le quart des 58 fichiers policiers est hors la loi).

Mondialisation des lois, minimisation (et portabilité) des données

15 ans après son adoption, la directive européenne de 1995 fait elle-même l’objet d’une proposition de révision (voir le document complet, .pdf).

Si “les principes essentiels de la directive sont toujours valables et qu’il convient de préserver sa neutralité sous l’angle technologique“, un certain nombre de problèmes ont néanmoins surgi au fil de l’évolution technologique et de la mondialisation, mais également du fait que “les modes de collecte des données à caractère personnel se complexifient et sont moins facilement décelables“.

Cette proposition de révision est d’autant plus importante qu’”étant mondialisé, le traitement des données appelle l’élaboration de règles universelles en matière de protection des personnes à l’égard du traitement des données à caractère personnel“, alors même que le cadre juridique de l’Union Européenne a précisément servi de référence à nombre de pays tiers lorsqu’ils ont décidé de légiférer en la matière :

Son incidence et ses effets, tant à l’intérieur qu’en dehors de l’Union, ont été de la plus haute importance. L’Union européenne doit donc continuer de jouer un rôle moteur dans l’élaboration et la promotion des normes juridiques et techniques internationales dans le domaine de la protection des données à caractère personnel, sur la base des instruments pertinents de l’UE et des autres instruments européens relatifs à la protection des données.

Les objectifs de cette révision sont nombreux, à commencer par celui de “renforcer les droits des particuliers de manière à ce que la collecte et le traitement des données à caractère personnel soient limités au minimum requis“, ainsi qu’à des finalités bien précises en vertu du “principe de la minimisation des données“.

Il s’agit ainsi d’”améliorer les modalités d’un véritable exercice des droits d’accès, de rectification, de suppression et de verrouillage“, de clarifier la notion de «droit à l’oubli», de “compléter l’éventail des droits des personnes concernées en assurant la «portabilité des données»“, et donc de leur conférer le “droit explicite” de retirer ses données d’une application ou d’un service afin de pouvoir les transférer chez un tiers, “sans que les responsables du traitement n’y fassent obstacle, pour autant que cela soit techniquement réalisable” (sic).

Constatant que les déclarations de confidentialité manquent souvent de clarté, sont difficilement accessibles, peu transparentes, et qu’elles “ne sont pas toujours pleinement conformes aux règles en vigueur“, la Commission préconise également “un accès aisé à l’information, qui doit être facile à comprendre, et l’utilisation d’un langage clair et simple“.

Réduire la charge administrative pesant sur les sociétés

La récente révision de la directive “vie privée et communications électroniques” ayant instauré une notification obligatoire des violations de données, “qui n’est toutefois applicable que dans le secteur des télécommunications“, la Commission examinera par ailleurs les modalités d’une extension de cette mesure à d’autres secteurs d’activités (“par exemple, le secteur financier“). Elle ne précise pas toutefois si cette notification devrait être faite aux autorités de protection des données, aux personnes dont les données ont été compromises, ou bien, sur le principe du full disclosure, à l’ensemble de la société.

La Commission voudrait également renforcer le “le traitement des données sensibles, c’est-à-dire des données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle” qui, s’ils sont déjà interdits en règle générale, seraient encore trop limités : ainsi, et aussi étonnant que cela puisse paraître, “les données génétiques, pour l’heure, ne sont pas considérées comme une catégorie de données sensibles“…

Dans un tout autre registre, la révision de la directive devrait par ailleurs permettre de “renforcer la dimension «marché unique» en réduisant la charge administrative pesant sur les sociétés” au motif que les disparités des règles européennes “entravent la libre circulation des données à caractère personnel au sein de l’UE et majorent les coûts” :

L’une des principales préoccupations récurrentes des parties prenantes, et notamment des entreprises multinationales, est l’harmonisation insuffisante des législations des États membres en matière de protection des données, en dépit de l’existence d’un cadre juridique commun de l’UE. Celles-ci ont souligné la nécessité d’accroître la sécurité juridique, d’alléger la charge administrative et d’assurer des conditions égales aux acteurs économiques et autres responsables du traitement.

Vers un encadrement des fichiers policiers ?

La Commission, qui réexamine également la directive de 2006 sur la conservation des données (qui impose aux sociétés de stocker les données relatives au trafic de télécommunication pour une durée comprise entre six mois et deux ans), propose enfin de “réviser les règles de protection des données dans les domaines de la coopération policière et judiciaire en matière pénale“, afin d’encadrer les fichiers policiers.

Le traité de Lisbonne a en effet “introduit une nouvelle base juridique complète pour la protection des données à caractère personnel dans toutes les politiques de l’Union“, et la Commission à décidé de “durcir la position de l’UE en matière de protection des données à caractère personnel dans le cadre de toutes les politiques européennes, y compris dans les domaines répressif et de la prévention de la criminalité“.

Sont visés la “dérogation trop large au principe de limitation de la finalité“, mais également la possibilité offerte de ficher, de façon indistincte, suspects, victimes et témoins, personnes suspectées d’avoir commis des crimes et délits et d’autres qui n’y sont présentes qu’à cause de leurs opinions :

Une autre de ses lacunes est l’absence de dispositions prévoyant une différenciation des diverses catégories de données en fonction de leur degré d’exactitude ou de fiabilité, et en particulier une différenciation des données fondées sur des faits de celles fondées sur des opinions ou appréciations personnelles, ainsi qu’une différenciation des diverses catégories de personnes concernées (délinquants, suspects, victimes, témoins, etc.), assortie de garanties spécifiques pour les données relatives à des personnes non soupçonnées.

La Commission déplore également le fait que si tous les États membres ont souscrit à la recommandation du Conseil de l’Europe n° R (87) 15, qui définit les principes de la Convention n°108 pour le secteur de la police, “cette recommandation ne constitue toutefois pas un instrument juridiquement contraignant” :

Cette situation peut porter directement atteinte aux possibilités des personnes d’exercer leurs droits en matière de protection des données dans ces domaines (par exemple, le droit de savoir quelles données à caractère personnel les concernant sont traitées et échangées, par qui et à quelles fins, et celui de connaître les modalités d’exercice de ces droits, tels que le droit d’accès aux données les concernant).

La volonté de “durcir la position de l’UE” en matière de fichiers policiers est cela dit fortement tempérée par la rédaction des propositions de la Commission, qui conclue son analyse en se déclarant fermement décidée à “examiner l’opportunité et la nécessité” de modifier les dispositions existantes, avec une langue de bois à savourer dans texte. Verbatim :

La Commission s’attachera notamment à :

- examiner l’opportunité d’étendre l’application des règles générales de protection des données aux domaines de la coopération policière et de la coopération judiciaire en matière pénale, y compris pour le traitement au niveau national, tout en prévoyant au besoin des limitations harmonisées à certains droits des personnes, par exemple en ce qui concerne le droit d’accès ou le principe de transparence;

- examiner la nécessité d’introduire des dispositions spécifiques et harmonisées dans le nouveau cadre général régissant la protection des données, par exemple en ce qui concerne le traitement des données génétiques à des fins répressives ou la distinction à établir entre les diverses catégories de personnes concernées (témoins, suspects, etc.) dans les domaines de la coopération policière et de la coopération judiciaire en matière pénale;

- engager, en 2011, une consultation de toutes les parties intéressées sur la meilleure manière de réviser les systèmes de contrôle actuels dans les domaines de la coopération policière et de la coopération judiciaire en matière pénale, afin de garantir l’exercice d’un contrôle efficace et cohérent de la protection des données sur l’ensemble des institutions, organes, bureaux et agences de l’Union;

- évaluer la nécessité d’aligner, à long terme, les diverses règles sectorielles, adoptées au niveau de l’UE pour la coopération policière et judiciaire en matière pénale et contenues dans des instruments spécifiques, avec le nouveau cadre juridique général de la protection des données.

En conclusion de sa présentation, la Commission souligne que “le défi ainsi posé aux législateurs est celui de la mise en place d’un cadre législatif qui résistera à l’épreuve du temps.” :

Peu importe la complexité de la situation ou le caractère sophistiqué de la technologie, il est essentiel que les règles et les normes applicables, que les autorités nationales doivent faire appliquer et auxquelles les entreprises et les développeurs de technologies doivent se conformer, soient définies clairement. De même, les droits conférés aux personnes devraient être clairs pour les intéressés.

On attend donc avec impatience que la Commission définisse un peu plus clairement la façon qu’elle aura de “durcir la position de l’UE” en matière de fichiers policiers.

1 commentaire

  1. par Jean-Philippe Walter

    La Convention 108 n’est certes pas le seul texte international régissant la protection des données, mais avec son protocole additionnel, elle constitue le seul texte juridique international à caractère contraignant. Comme vous l’indiquez dans votre première article, la convention fait l’objet d’un processus de modernisation et une consultation publique est en cours jusqu’au 10 mars prochain. Voir aussi: http://www.coe.int/t/dghl/standardsetting/dataprotection/Consultation_Modernisation_Convention_108_FR.pdf et http://www.data-protection-day.net/files/Panel_1_1_Jean_Philippe_Walter.pdf