Chemin de navigation

Left navigation

Additional tools

Autres langues disponibles: EN DE

European Commission

Viviane Reding

Vice-présidente de la Commission européenne

La réforme de l’UE sur la protection des données personnelles: le temps des décisions

2e édition de la Conférence européenne annuelle sur l’informatique en nuage/Brussels

7 mars 2013

Principaux messages du discours

1/ Le calendrier:

Nous sommes en plein milieu des négociations sur les propositions législatives relatives à la protection des données personnelles.

La présidence irlandaise fait actuellement avancer le dossier. Le Parlement européen a accéléré ses travaux sous la direction de Jan-Philipp Albrecht.

2/ Trois raisons justifiant l’importance de la réforme sur la protection des données:

Premièrement, dans l’Union européenne (UE), la protection des données personnelles est un droit fondamental dont les motifs sous-jacents sont inscrits dans l’histoire de l’Europe et son expérience des régimes totalitaires aux deux extrêmes du spectre politique. Il en a découlé un consensus en Europe sur le fait que le respect de la vie privée forme partie intégrante de la dignité humaine et de la liberté des personnes. Le contrôle de chaque fait et geste, de chaque mot ou de chaque courriel échangé à des fins privées n’est pas compatible avec les valeurs fondamentales de l’Europe, ni avec notre vision commune d’une société libre.

Deuxièmement, nous devons nous battre pour la réforme sur la protection des données car elle permettra à l’UE de s’ouvrir à l’économie numérique, une évolution propice à l'activité économique. Elle répond aux attentes des entreprises, désireuses d’avoir un véritable marché unique numérique avec une législation unique en matière de protection des données.

La mise en œuvre de l’actuelle directive se révèle fragmentée et complexe. La directive de 1995, comptant 12 pages, est mise en œuvre dans 27 pays. En Allemagne, par exemple, le texte de la loi actuelle sur la protection des données est long de 60 pages. Prenez ces 60 pages et multipliez-les par le nombre d’États membres, soit 27, et vous aurez une idée de ce que signifie concrètement la «complexité réglementaire». Nous remplacerons cette montagne de papier par une seule loi de 91 articles, valable dans toute l’Europe.

Un continent, une législation. C'est ainsi que je conçois les notions de simplicité et d’ouverture du marché.

Troisièmement, nous devons nous assurer que les mêmes règles s’appliquent à toutes les entreprises fournissant des services aux résidents de l’UE. Lorsqu’elles proposeront leurs services à des clients européens, les entreprises non européennes devront appliquer également les mêmes règles et garantir le même niveau de protection des données à caractère personnel.

3/ L’état actuel des négociations

La législation en matière de protection des données n’est pas tombée du ciel. Permettez-moi d’illustrer cela par un exemple: les interminables discussions sur le consentement.

La directive actuellement en vigueur stipule depuis 1995 que la personne concernée doit avoir «indubitablement donné son consentement». La Commission pense que ce consentement devrait être «explicite». Les autorités nationales de protection des données des 27 États membres adhèrent à ce point de vue, qui est désormais au centre des débats. Qu’est-ce que cela impliquera dans la pratique? Ce consentement explicite sera-t-il nécessaire en toutes circonstances? Des centaines de fenêtres contextuelles s’afficheront-elles sur votre écran? Des téléphones intelligents seront-ils jetés à terre par frustration? Non, rien de cela. Ces réponses ne sont que les propos alarmistes de certains lobbyistes.

Les citoyens ne comprennent pas la notion de consentement implicite. Garder le silence n’est pas la même chose que donner son aval.

Le consentement est actuellement l’un des fondements sur lesquels repose la licéité du traitement des données à caractère personnel. Par exemple, une entreprise peut traiter des données personnelles à des fins commerciales tant que cela n’a pas d’impact significatif sur les droits de la personne concernée. Cela s’appelle l’«intérêt légitime». La Commission n’a pas proposé de changer cela.

Le secteur du marketing, par exemple, exploite cet argument de l’«intérêt légitime», et pourra continuer à le faire. Du point de vue des règles actuelles, le consentement n’a pas lieu d’être dans de tels cas, et il en restera ainsi.

4/ La protection des données dès la conception et les analyses d’impact relatives à la protection des données:

Les experts estiment que la cyberattaque contre Sony, lors de laquelle l’intégrité des données de 77 millions de personnes a été compromise, a coûté à cette société entre 1 et 2 milliards USD. Tel est le prix à payer pour ne pas avoir respecté les règles, et ce coût considérable aurait pu être évité. Si votre modèle d’entreprise s’aligne sur les règles actuelles, vous n’avez rien à craindre.

5/ Les défis à relever:

La directive actuelle a bien servi l’Europe. Le premier défi que doivent relever les négociations en cours, est de veiller à ce que le niveau de protection des données en Europe ne tombe pas en deçà du niveau instauré par la directive.

Un autre défi est de s’assurer que les nouvelles règles n’auront pas à être modifiées en fonction de chaque évolution technologique. La réforme sur la protection des données implique que les mêmes règles seront applicables indépendamment du lieu de stockage des données. Elles doivent faciliter le flux des données dans le nuage. Nous construisons des passerelles, non des pare-feux.

Le dernier défi concerne la rapidité avec laquelle nous parviendrons à un accord. La réponse est simple. Il incombe à ce Parlement et à ses membres actuels d’accomplir cette réforme. Ils suivent ce dossier depuis le début. Il y faudra toute la durée de leur mandat, mais ils doivent finir le travail.

Depuis le début des négociations, c’est toujours la même histoire: les partisans du maintien d’un haut niveau de protection des données en Europe reconnaissent qu’il faut rapidement faire évoluer la législation. Les partisans d’un abaissement du niveau de protection essaient de ralentir le traitement du dossier, mais je ne les laisserai pas faire.

Discours

Mesdames et Messieurs,

Le contexte dans lequel s’inscrit le débat sur la protection des données et le nuage, est clair.

Le monde a profondément changé depuis 1995, l’année d’adoption du cadre en vigueur en matière de protection des données de l’UE. Nous vivons à présent dans un monde offrant une multitude de possibilités de communication. Nous pouvons tenir au courant nos amis et nos proches de tous nos faits et gestes en temps réel. Nous avons accès à une masse infinie de connaissances via des moteurs de recherche extrêmement évolués et nous pouvons confier nos données à caractère privé à un fournisseur de services dans le nuage sans nous soucier de l’espace de stockage.

Cette évolution a des implications considérables pour nos économies. En 2011, le cabinet de conseil McKinsey prévoyait un excédent économique de 120 milliards d’EUR en Europe d’ici 2020. L’an dernier, le Boston Consulting Group voyait pour sa part un gain potentiel de PIB de 1 000 milliards d’EUR en 2020. Nous avons besoin d’un marché unique numérique qui fonctionne bien pour concrétiser ces perspectives et libérer ce potentiel de croissance.

Mais cela soulève également un certain nombre de questions non négligeables concernant les droits des citoyens. Comment pouvons-nous assurer la protection des données dans un monde de connectivité tous azimuts? Comment pouvons-nous renforcer la confiance des consommateurs dans un monde confronté à une véritable explosion des volumes de données? Comment pouvons-nous concilier le respect de la vie privée et la croissance numérique, les droits des personnes et les besoins des entreprises?

Il y a à peine plus d’un an, la Commission européenne a présenté un projet de réforme sur la protection des données qui répond à toutes ces questions. Depuis lors, nous assistons à un grand débat, intense, vibrant et passionnant.

Nous sommes en plein milieu des négociations sur les propositions législatives, la présidence irlandaise fait actuellement avancer le dossier et le Parlement européen a accéléré ses travaux sous la direction de Jan-Philipp Albrecht.

Alors que la discussion s’emballe et que les arguments fusent dans tous les sens, il convient de ne pas perdre de vue l’essentiel. C’est la tâche que je me fixe pour ma part aujourd’hui.

Voici les trois points clés que je souhaiterais traiter.

  • Premièrement, en examinant rétrospectivement les raisons qui ont conduit la Commission à présenter ces propositions, je suis plus que jamais convaincue que cette réforme est essentielle pour l’Union européenne et ses citoyens;

  • Deuxièmement, en considérant les négociations actuelles, nous ne devrions jamais oublier que les règles proposées par la Commission ne sont pas tombées du ciel. Elles sont ancrées dans la législation de l’UE qui est en vigueur depuis 1995;

  • Troisièmement, pour l’avenir, nous devons relever le défi et mener à terme les négociations d’ici la fin du mandat du Parlement actuel.

I. Analyse rétrospective – les raisons justifiant la réforme

Il y a trois raisons qui justifient l’importance de la réforme de la protection des données.

A. La protection des données est un droit fondamental

Premièrement, la protection des données personnelles est un droit fondamental dans l’UE.

Ses motifs sous-jacents sont inscrits dans l’histoire de l’Europe et son expérience des régimes totalitaires aux deux extrêmes du spectre politique. Il en a découlé un consensus en Europe sur le fait que le respect de la vie privée forme partie intégrante de la dignité humaine et de la liberté des personnes. Le contrôle de chaque fait et geste, de chaque mot ou de chaque courriel échangé à des fins privées n’est pas compatible avec les valeurs fondamentales de l’Europe, ni avec notre vision commune d’une société libre.

C’est la raison pour laquelle la charte des droits fondamentaux de l’Union européenne reconnait à la fois le droit à la vie privée à l’article 7 et le droit à la protection des données à caractère personnel à l’article 8. Mais ce n’est pas tout.

L’article 16 du traité sur le fonctionnement de l'Union européenne (TFUE) confère également à l’UE la compétence législative pour instaurer des lois harmonisées au niveau de l’UE en matière de protection des données, applicables à l’ensemble du continent et contribuant à faire de la protection des données une réalité.

La protection des données est ainsi l’un des rares domaines où l’on observe une cohérence totale entre le droit fondamental et les compétences législatives de l’UE. La portée du droit fondamental à la protection des données dans l’Union s’en trouve ainsi particulièrement renforcée, et les propositions de la Commission ont été élaborées en vue de faire appliquer ce droit partout dans notre marché intérieur.

B. La protection des données pour ouvrir le marché

Deuxièmement, la réforme sur la protection des données permettra d’ouvrir le marché numérique de l’UE, une évolution propice à l'activité économique.

Elle répond aux attentes des entreprises, désireuses d’avoir un véritable marché unique numérique avec une législation unique en matière de protection des données.

À cet égard, la mise en œuvre de l’actuelle directive est fragmentée et complexe.

Pourquoi «fragmentée»: une entreprise exerçant son activité dans les 27 États membres doit, en passant d'un État à l'autre, se conformer à un autre ensemble de règles et traiter avec une autre autorité nationale de protection des données, soit 27 législations et 27 interlocuteurs. En instaurant une législation unique pour l’Europe, nous créons un cadre juridique fiable à l'intérieur duquel les entreprises peuvent évoluer en confiance.

Pourquoi «complexe»: la directive de 1995, comptant 12 pages, est mise en œuvre dans 27 pays. En Allemagne, par exemple, le texte de la loi actuelle sur la protection des données est long de 60 pages. Prenez ces 60 pages et multipliez-les par le nombre d’États membres, soit 27, et vous aurez une idée de ce que signifie concrètement la «complexité réglementaire». Nous remplacerons cette montagne de papier par une seule loi de 91 articles, valable dans toute l’Europe.

Un continent, une législation. C'est ainsi que je conçois les notions de simplicité et d’ouverture du marché.

C. Une seule règle pour les citoyens de l’UE

Troisièmement, nous devons nous assurer que les mêmes règles sont applicables à toutes les entreprises fournissant des services aux résidents de l’UE. Cet aspect est au cœur du projet de règlement européen sur la protection des données personnelles.

Lorsqu’elles proposeront leurs services à des clients européens, les entreprises non européennes devront appliquer également les mêmes règles et garantir le même niveau de protection des données à caractère personnel. Le raisonnement est simple: si les entreprises hors Europe veulent profiter du marché européen et de ses 500 millions de clients potentiels, elles devront appliquer les «règles de jeu» européennes.

Il s’agit d’instaurer une concurrence loyale, un principe ardemment défendu dans le monde entier. Aussi, il y a deux semaines, les principaux opérateurs de télécommunications de l’UE ont annoncé leur soutien à la réforme.

Mais n'oublions pas qu'il y aussi une autre dimension, qui concerne directement le citoyen. C'est avant tout pour les 500 millions d’Européens que nous avons besoin de règles solides, claires et harmonisées en matière de protection des données. Ils doivent savoir que, dès lors qu’ils résident en Europe et que leurs données sont traitées, ce traitement est effectué conformément aux normes européennes. Ces règles reflètent le fait que la protection des données à caractère personnel est un droit fondamental.

II. Les négociations en cours: une évolution plutôt qu’une révolution

Cela me conduit à évoquer les règles à proprement parler.

Dès qu’un nouveau texte réglementaire est en préparation, et souvent bien avant, les dirigeants sortent leur calculatrice. «Les services Internet vont coûter bien plus cher!», disent les uns, «Les jours des réseaux sociaux gratuits sont comptés» disent les autres. J’ai déjà entendu tout cela.

A. Pas de révolution – Il n'est pas uniquement question du consentement

Je pense que ces prévisions pessimistes ne sont pas justifiées. La législation en matière de protection des données n’est pas tombée du ciel.

Permettez-moi d’illustrer cela par un exemple: les interminables discussions sur le consentement.

La directive actuelle stipule depuis 1995 que la personne concernée doit «indubitablement» donner son consentement. La Commission pense que ce consentement devrait être «explicite». Les autorités nationales de protection des données des 27 États membres adhèrent à ce point de vue.

Qu’est-ce que cela impliquera dans la pratique? Ce consentement explicite sera-t-il nécessaire en toutes circonstances? Des centaines de fenêtres contextuelles s’afficheront-elles sur votre écran? Des téléphones intelligents seront-ils jetés à terre par frustration?

Non, rien de cela. Ces réponses ne sont que les propos alarmistes de certains lobbyistes.

Le consentement est actuellement l’un des fondements sur lesquels repose la licéité du traitement des données à caractère personnel. Par exemple, une entreprise peut traiter des données personnelles à des fins commerciales tant que cela n’a pas d’impact significatif sur les droits de la personne concernée. Cela s’appelle l’«intérêt légitime».

La Commission n’a pas proposé de changer cela.

Le secteur du marketing, par exemple, exploite cet argument de l’«intérêt légitime» et pourra continuer à le faire. Du point de vue du futur règlement, le consentement n’a pas lieu d’être dans de tels cas, et il en restera ainsi.

Mais que se passe-t-il lorsque le traitement devient plus intrusif? Que se passe-t-il lorsqu’une autorité de protection des données dit qu’on ne peut plus faire valoir l’argument de l’intérêt légitime?

Vous avez alors besoin d’obtenir le consentement de la personne et il devrait être explicite. Les citoyens ne comprennent pas la notion de consentement implicite. Garder le silence n’est pas la même chose que donner son aval.

La réforme ne sera pas une révolution, mais une évolution. Nous ne voulons pas changer les principes fondamentaux. Il en va de même pour les grands volets de la proposition: la définition des données à caractère personnel, la disposition sur le profilage. La Commission n’a pas inventé la protection des données en 2012. Les principes de la directive de 1995 restent valables. Ils ont simplement besoin d’être rafraichis.

Si votre modèle d’entreprise s’aligne sur les règles actuelles, vous n’avez rien à craindre, et tout ira bien.

B. Protection des données et innovation

Dans le même esprit, la Commission a introduit de nouveaux concepts tels que la protection des données dès la conception et l’analyse d’impact relative à la protection des données. Il s’agit d’assurer que les entreprises adhèrent aux principes de la directive de 1995 dès le départ.

Les experts pensent que la cyberattaque contre Sony, au cours de laquelle l’intégrité des données de 77 millions de personnes a été compromise, a coûté à cette société entre 1 et 2 milliards d'USD. Tel est le prix à payer pour ne pas avoir respecté les règles, et ce coût considérable aurait pu être évité.

D’un autre côté, prenez l’exemple de la ville de Hambourg, en Allemagne, où l’industrie du jeu est florissante. Hambourg compte 155 sociétés de jeux employant plus de 3500 personnes. Ces petites et moyennes entreprises (PME) génèrent de la croissance et de la richesse. Il s’agit d’un secteur sensible qui se développe dans un domaine où les normes en matière de protection de données sont strictes, peut-être les plus strictes du monde. Vous vous souvenez peut-être que l’autorité de protection des données du Land de Hambourg a été la première à contester la reconnaissance faciale sur Facebook.

C. Qu’est-ce que cela prouve?

Premièrement, cela permet de comprendre pourquoi nous devons être particulièrement sensibles aux préoccupations des PME. De fait, 99 % des entreprises de l’UE sont des PME. On en compte pas moins de 23 millions en Europe. Elles représentent les deux tiers de l’emploi du secteur privé. Notre stratégie doit veiller à «penser PME avant tout». Les intérêts des PME ne sont pas forcément les mêmes que ceux des multinationales.

Deuxièmement, cela montre que l’innovation et la protection des données sont des objectifs complémentaires et nullement contradictoires. La «success story» de Hambourg continue, en dépit d'une autorité de protection des données qui fait sérieusement son travail, ou peut-être grâce à elle.

En fait, on assiste à une multiplication de nouveaux modèles d’entreprise reposant sur la protection des données: citons la gestion de la réputation, les services dans le nuage, les nouveaux matériels et logiciels qui permettent de sécuriser les opérations bancaires en ligne. Conférer aux personnes la maîtrise de leurs données personnelles, y compris sur l’Internet, leur apportera des avantages tangibles. Chacun souhaite de nouvelles façons de gérer son identité.

La vie privée crée des opportunités commerciales, et nos règles en tiennent compte.

III. Les défis à relever

A. Maintenir le niveau de protection dans l’UE

La directive actuelle a bien servi l’Europe. Le premier défi des négociations en cours, est de veiller à ce que le niveau de protection des données en Europe ne tombe pas en deçà du niveau instauré par la directive.

J’ai déjà expliqué que la protection des données est un droit fondamental. Mais les avantages que procure un haut niveau de protection des données dans l’UE ne se mesurent pas uniquement en ces termes.

Les données personnelles sont devenues un bien de grande valeur. Le marché de l’analyse de grands ensembles de données augmente de 40 % par an dans le monde. Les données, et souvent les données à caractère personnel, constituent la monnaie de cette nouvelle économie numérique.

Mais la libre circulation de toute monnaie dépend d’un produit de base précieux: la confiance. S’ils sont totalement «confiants» quant à la protection de leurs données personnelles, les consommateurs continueront à les communiquer aux entreprises et aux autorités pour faire des achats et recourir à de nouveaux services en ligne.

Or, la confiance s’amenuise. Lors de sondages, 72 % des Européens interrogés se sont dit inquiets de la façon dont les entreprises utilisent leurs données à caractère personnel. C’est le principal motif qui les dissuade d’acheter des biens et des services en ligne.

Cette tendance doit être inversée. Des règles fiables et appliquées de façon cohérente rendent le traitement plus sûr et moins cher et donnent confiance aux utilisateurs. À son tour, la confiance favorise la croissance.

B. Le défi des nouvelles technologies

Le deuxième défi consiste à s’assurer que les nouvelles règles n’auront pas à être modifiées en fonction de chaque évolution technologique.

Le nuage fournit l’exemple le plus parlant aujourd’hui. Les données circulent sans s'arrêter aux frontières nationales ni aux frontières de notre continent. «Informatique en nuage» signifie que les données à caractère personnel peuvent être stockées n’importe où, par exemple sur des serveurs situés en Californie ou dans les Caraïbes.

Aussi, les propositions instaurent un principe important à cet égard, à savoir que nos règles seront clairement applicables à tout responsable du traitement qui propose des biens ou des services à une personne résidant dans l’UE, que ce responsable soit établi dans l’Union ou en dehors.

Sur la base de ce principe, les propositions facilitent les transferts internationaux de données. Elles étendent et simplifient les procédures telles que «les règles d’entreprise contraignantes» – codes de conduite autorisant les transferts au sein des entreprises ayant des établissements dans l’UE et en dehors. Dans la plupart des cas, il ne sera plus nécessaire d’obtenir l’autorisation des autorités de contrôle avant de transférer les données à l'extérieur de l’UE.

Nous avons également introduit un dispositif visant à garantir que les règles de l’Europe soient interprétées et appliquées de la même façon partout en Europe. Il s’agit du mécanisme de cohérence.

Les autorités nationales de protection des données auront encore à prendre des décisions individuelles. Mais nous devons rationaliser la coopération sur les questions ayant des incidences à l'échelle de l’Europe. Ici, les travaux de base seront effectués par le comité européen de la protection des données, qui réunit les 27 autorités nationales de protection des données. Dans les dossiers paneuropéens, le comité émettra un avis, qui devra être pris en compte par les autorités nationales de protection des données. La Commission n’interviendra qu’en dernier recours, comme dispositif de soutien, si l’avis du comité n’est pas suivi. En premier lieu, elle émettra un avis et pourra, au besoin, adopter une règle générale. Aux citoyens, cette approche garantit que les décisions difficiles seront prises. Aux entreprises, elle garantit l’instauration du marché intérieur.

Ces règles sont taillées sur mesure pour l’informatique en nuage, qui requiert des règles cohérentes permettant le transfert aisé des données à caractère personnel au-delà des frontières. Grâce à la réforme de la protection des données, les mêmes règles seront applicables indépendamment du lieu de stockage des données, et elles faciliteront la circulation des données dans le nuage. Les règles que j’ai proposées reflètent la réalité du nuage. Nous construisons des passerelles, et non des pare-feux.

C. Le défi du calendrier

Le dernier défi porte sur la rapidité avec laquelle nous allons trouver un accord. La réponse est simple. Il incombe à ce Parlement et à ses membres actuels d’accomplir cette réforme. Ils suivent ce dossier depuis le début. Il y faudra toute la durée de leur mandat, mais ils doivent finir le travail.

Selon l’avis de certains, cela va trop vite, c’est trop complexe, les ramifications sont considérables.

Il est vrai que le dossier est important, et c’est précisément la raison pour laquelle nous devons mener ces négociations à terme.

Les partisans du maintien d’un haut niveau de protection des données en Europe reconnaissent qu’il faut rapidement faire évoluer la législation. Les partisans d’un abaissement du niveau de protection essaient de ralentir le dossier. Le premier groupe a une longueur d’avance.

Les questions débattues sont bien connues de toutes les parties prenantes. Nous en sommes à la quatrième année de la réforme. Tout a commencé avec la conférence de mai 2009. Nous avons procédé à une consultation publique, et émis une communication. Le Parlement européen, sous la direction d’Axel Voss, a répondu par une résolution en juillet 2011. Les propositions sont en cours d’examen depuis un an. D’ici 2014, la réforme en sera à sa cinquième année. Nous savons quelles sont les problématiques. Il n’y a pas eu de surprise. Le dossier est arrivé à maturité et le temps presse.

Mesdames et Messieurs,

Nous voulons créer de nouvelles opportunités de croissance car l’Europe en a besoin et, dans le même temps, nous voulons faire de la protection des données personnelles un droit effectif pour tout un chacun. Nous mettrons en place des règles de protection des données efficaces, pratiques et à l’épreuve du temps, qui autorisent la croissance. Je ferai tout mon possible pour soutenir la présidence irlandaise et le Parlement européen dans ce projet. J’espère pouvoir compter sur votre soutien également, pour répondre aux attentes tant des entreprises que des citoyens, et faire entrer dans l’ère numérique les règles européennes en matière de protection des données.


Side Bar

Mon compte

Gérez vos recherches et notifications par email


Aidez-nous à améliorer ce site