Données personnelles : que prévoit l’Union européenne ?



Actualité


16.12.2020

Mis à jour par Barthélémy Gaillard

Le paquet sur la protection des données comprenant règlement général sur la protection des données (RGPD) a été adopté en 2016 pour améliorer la sécurité juridique des citoyens européens. Il s’apprête à être renforcé par la loi sur les services numériques présentée par la Commission européenne en décembre 2020, qui vise à encadrer notamment l’utilisation des données personnelles des utilisateurs par les géants du numérique.

La protection des données à caractère personnel n’est pas un enjeu européen totalement nouveau. Un cadre législatif relatif au traitement et à la circulation de ces données existe en effet depuis 1995.

Néanmoins, l’évolution du secteur et sa structuration autour de plusieurs géants américains -les GAFAM- et chinois -les BATX- ont renforcé la nécessité d’une révision des législations relatives à la protection des données personnelles. En effet, des scandales d’exploitation de données personnelles (notamment avec le programme PRISM de surveillance de la NSA) et de manipulation de l’information (avec le scandale Cambridge Analytica impliquant Facebook) ont mis en lumière les dérives rendues possibles par ces positions dominantes sur un marché aussi stratégique que le numérique. Ils ont également poussé l’Union européenne à légiférer pour s’adapter à la nouvelle donne.

Harmoniser la protection des données personnelles des citoyens

Premier texte européen voté sur le sujet, la directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données demeure actuellement le socle commun à tous les pays de l’Union européenne en matière de protection des données personnelles.

Cette directive définit ce qu’est une donnée à caractère personnel et pose les principes de la qualité de la donnée, la légitimation de son traitement, le type de catégories récoltées autorisée, le droit d’accès des personnes à leurs données, le consentement de délivrance des données et le droit d’opposition, la confidentialité et la sécurité des traitements, ainsi que sa notification.

L’article 29 de cette directive d’octobre 1995 a également permis la création d’un groupe qui rassemble, tous les deux mois, les représentants des autorités nationales de protection des données (l’équivalent de la Commission nationale de l’informatique et des libertés – CNIL, en France). Ce groupe surnommé « G29 » a pour objectif d’adopter des recommandations concernant la protection des données personnelles, et notamment à destination de la Commission européenne.

La directive a été transposée en droit français par la loi du 6 août 2004 relative à la protection des personnes physiques concernant les traitements de données à caractère personnel.

Qu’est-ce qu’une donnée personnelle ?

Le règlement de 2016 abrogeant la directive de 1995 sur la protection des données définit la donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale« . C’est également le cas d’une photo mais aussi des empreintes digitales et autre donnée biométrique.

Bien que la directive de 1995 ait permis une certaine harmonisation, il existait toutefois une fragmentation des législations des Etats membres en termes de données personnelles. Les législations françaises et anglaises, par exemple, divergaient en de nombreux points comme la définition même de la donnée personnelle, ou encore les conditions de transferts et de traitement. Comme l’explique le règlement de 2016, il subsistait donc « une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. »

Les nouvelles règles du paquet législatif de 2016

Après 20 mois de débats et 250 heures de négociations informelles entre les groupes politiques, les députés européens ont voté le paquet sur la protection des données composé d’un règlement et d’une directive, en avril 2016. Le RGPD est entré en vigueur dans les Etats membres de l’Union le 25 mai 2018.

Le règlement concerne le traitement des données personnelles. Il adapte ainsi la directive de 1995 aux évolutions de l’environnement numérique. Comme l’explique Carole Ulmer, directrice d’études pour le think tank Confrontations Europe : « L’esprit du texte est clair : il s’agit de donner une vision commune de la protection des données personnelles en Europe et de renforcer le droit des individus sur leurs données. »

Le règlement concerne également « le droit à l’oubli« . Ainsi, si une personne demande à une entreprise d’effacer certaines données, l’entreprise doit s’exécuter et transmettre la demande à toute partie qui duplique ces données.

Différentes mesures permettent enfin à chacun d’être informé de l’utilisation de ses données personnelles. Trois articles visent à changer le fonctionnement des politiques de vie privée rédigées « en petits caractères« . Les informations devront être transmises dans un langage « simple et clair » afin que la personne donne un consentement éclairé et explicite quant au traitement de ses données. Deux autres articles stipulent que les entreprises doivent informer les utilisateurs ou clients en cas de piratage des données.

L’objectif est également d’encourager les entreprises à mettre en œuvre une bonne gouvernance des données ainsi que des méthodes qui respectent le principe de protection des données dès la conception du produit qu’elles proposent. En cas d’infraction, des amendes pouvant atteindre jusqu’à 4% du chiffre d’affaires mondial de l’entreprise sont prévues par le règlement.

La directive concerne quant à elle les transferts de données nationaux et transnationaux. Ces données sont également protégées par le règlement, mais avec certaines adaptations. L’objectif est de faciliter la coopération des différentes autorités répressives nationales.

L’accord « Privacy Shield »

En février 2016, un accord entre l’UE et les Etats-Unis concernant les échanges de données transatlantiques a été conclu. Entré en vigueur en août 2016, ce mécanisme assure que les données personnelles européennes transmises à des entreprises américaines soient soumises à des règles qui garantissent un niveau de protection adéquat et proche de celui proposé par l’Union européenne. 

Le Digital Services Act et la stratégie de la Commission européenne de 2020

Dévoilé officiellement le 15 décembre 2020 par la Commission européenne, le « Digital Services Act » fait partie du nouveau paquet législatif sur les services numériques. S’il dépasse de loin le seul cadre de la protection des données (il comporte également un volet droit de la concurrence destiné à lutter contre l’hégémonie des géants du Net et à favoriser l’émergence de plateformes européennes), ce texte entend bien protéger les internautes européens, notamment en encadrant l’exploitation de leur données.

Le Digital Services Act concerne les plateformes et autres moteurs de recherche visant des publics résidant sur le territoire de l’Union et proposant des biens et des services situés sur ce même territoire. Mais, première nouveauté apportée par ce texte, les plateformes dont le siège est situé hors de l’Union ou celles relevant d’un droit autre que le droit européen seraient également concernées par la réglementation. Le Digital Services Act doit donc s’adapter à la structure mondialisée du marché du numérique.

Il vise les plus gros acteurs du marché, les gatekeepers, soit ceux qui réunissent au moins 45 millions d’utilisateurs européens (10 % de la population de l’Union). D’autres critères viennent préciser cette première définition, comme le caractère incontournable (dû à l’absence de concurrence et au recours indispensable à la plateforme en question), un pouvoir de marché de longue durée (la capacité à fixer des prix supérieurs au coût marginal de production et ce sur le temps long, donc à s’assurer des profits pérennes) et la présence sur plusieurs marchés (Amazon sur la livraison à domicile et la vidéo à la demande, Google sur le moteur de recherche et la messagerie…). 

En ce qui concerne les données personnelles, la Commission européenne ambitionne ainsi de sanctionner les plateformes qui ne respecteraient pas les exigences de transparence sur les algorithmes utilisés pour la publicité en ligne. Au terme de ces enquêtes, si des infractions sont constatées, la Commission européenne pourrait alors prendre des sanctions contre les plateformes en infligeant des amendes allant jusqu’à 6% de leur chiffre d’affaires mondial.

Le deuxième volet de la loi sur les services numériques, baptisé Digital Market Act, protège également les données des utilisateurs européens, plus indirectement cette fois-ci. En effet, il a pour objectif de briser l’hégémonie de certaines plateformes et moteurs de recherche dont la position monopolistique leur permet d’exiger des sites qu’ils référencent de leur transmettre les données de leurs utilisateurs.

Illustration de ces déséquilibres actuels du marché, les outils de traçage de Google sont présents sur 75 % des 80 000 sites les plus consultés au monde, tandis qu’Amazon est le plus gros hébergeur cloud au monde et propose ses services à des mastodontes tels que Netflix ou l’armée américaine. Ces contrats leur assurent un levier d’influence et une manne de données sans précédent.

Jusqu’ici, Google peut par exemple exploiter les données personnelles récoltées grâce à ses partenaires commerciaux pour ensuite proposer lui-même des services similaires et les concurrencer. Ces pratiques seraient encadrées et, en cas de concurrence déloyale constatée, pourraient être punies par des amendes allant jusqu’à 10% du chiffre d’affaires mondial voire la scission des activités du groupe incriminé. Des mesures qui ne sont pas encore d’actualité, puisque le processus législatif pourrait ne pas aboutir avant 2023.

En savoir plus :



touteleurope

A lire aussi

Laisser un commentaire