Le Parlement européen vient d'adopter définitivement le règlement sur la protection des données personnelles, qui sera applicable d'ici deux ans. Il a également donné son aval à la mise en oeuvre du « Passenger Name Record » (PNR). Et ce alors que les CNIL européennes ont étrillé hier le futur texte sur le transfert des données d'Européens aux États-Unis.

Deux votes décisifs et un avis qui doit aussi l'être. Ces deux derniers jours, les événements autour de la vie privée en Europe se sont enchainés. Hier, les CNIL européennes ont rendu leur avis final (très mitigé) sur le Privacy Shield, qui doit protéger les données des Européens transférées aux États-Unis.

Aujourd'hui, le Parlement européen a lui adopté deux textes importants : la réforme du règlement sur la protection des données personnelles, en débat depuis quatre longues années, et le registre des données des passagers d'avion (PNR). Quand l'un garantit de nouveaux droits aux Européens, l'autre ajoute une collecte de données supplémentaires pour la sécurité aérienne.

Des règles plus strictes sur la vie privée

Après une adoption en commission LIBE avant-hier et un dernier débat public hier, le nouveau règlement européen sur la protection de la vie privée a finalement été voté ce midi par les eurodéputés. Cela alors que la CNIL française ne s'attendait pas à une adoption avant le mois prochain. Le texte est majeur, autant par ce qu'il change que par le temps de discussion, sous une forte pression des États et industriels.

Ce règlement unifie le droit européen relatif aux données personnelles, la directive actuelle (datant de 1995) étant appliquée de manière diverse par les États membres. Dernièrement, cela a été un angle d'attaque pour les éditeurs de presse, visés par une enquête de la CNIL pour leur collecte des données des internautes, qui estiment l'interprétation française de cette directive bien plus stricte que celle des pays voisins.

Il affirme surtout quelques grands principes. Comme nous l'expliquions, l'internaute doit désormais donner son accord explicite pour l'utilisation de ses données. Il n'est plus question de considérer le silence comme un « oui ». Le texte introduit également un droit à la portabilité des données ; chaque service devra fournir un moyen de passer ses données chez un concurrent. Le droit à l'oubli est aussi inclus, un internaute pouvant demander l'effacement de ses données par n'importe quel site, y compris les moteurs de recherche. Les fuites de données doivent, elles, être signalées aux autorités.

Des amendes rehaussées en cas de violation des données

Le règlement introduit également des amendes qui peuvent atteindre 10 millions d'euros pour certaines infractions ou 4 % du chiffre d'affaires mondial pour d'autres. C'est une échelle toute autre que les 150 000 euros que peut infliger actuellement la CNIL. Voté aujourd'hui, il entrera en application en avril 2018.

L'eurodéputé Jan Philip Albrecht, qui porte le texte au Parlement européen, s'est largement félicité du vote, tout comme l'ancienne commissaire européenne Viviane Reding, en charge à l'époque du dossier. Dans un communiqué, la CNIL française salue cette adoption, expliquant que « les CNIL européennes se mettent en ordre de marche pour accompagner les entreprises à se préparer pour 2018 et pour mettre en place le prochain European Data Protection Board qui prendra la suite du G29 ». Des consultations « avec les parties prenantes » devraient bientôt avoir lieu.

Même enthousiasme chez les opérateurs, qui attendent les détails de son application. Les mécontents sont, en fait, représentés par l'association patronale Business Europe, qui estime que le texte n'a pas atteint d'équilibre entre vie privée et compétitivité et qu'il ajoutera une charge administrative inutile.

#EUdataP package approved by #EPlenary. 4 years of work by @EP_Justice MEPs @JanAlbrecht & @LauristinMarju completed pic.twitter.com/fwDjcbTk8 g

— LIBE Committee Press (@EP_Justice) 14 avril 2016

Le registre des passagers aériens également voté

Après le côté pile, le côté face. Les députés ont aussi adopté le registre des données de passagers aériens (PNR), présenté il y a maintenant cinq ans. Le but : faciliter l'accès des services de renseignement aux données des passagers, via de nouvelles collectes. La lutte contre le terrorisme est, bien entendu, l'une des principales raisons invoquées. Le texte doit encore passer par les États au sein du Conseil de l'Europe, même si leur adhésion semble déjà acquise, ceux-ci étant demandeurs de ces mesures.

La France a été le pays le plus demandeur de ce registre, après les attentats qui ont frappé le pays l'an dernier. Pour Bernard Cazeneuve, il s'agit d'un outil indispensable dans la lutte anti-terroriste. Sur les 50 millions d'euros déjà débloqués pour mettre en place cette mesure, 18 millions proviennent de la France, rappelle d'ailleurs le Guardian. La France prévoit de l'expérimenter dès cet été.

Les réactions à ce vote ont été aussi contrastées. Les eurodéputés socialistes et radicaux se félicitent de ce double vote, estimant que les deux textes se complètent. Le groupe rappelle que de meilleures pratiques des pays membres en matière de partage des données contribueraient déjà à améliorer l'efficacité de la lutte contre le terrorisme. De son côté, l'association de défense des libertés AccessNow garde « un goût aigre-doux » de cette journée, qui a vu deux textes aux finalités opposées votés. Elle rappelle le rejet du PNR il y a trois ans, estimant que le vote d'aujourd'hui est « une réaction réflexe face au climat politique actuel ».

Rappelons qu'en début d'année dernière, les CNIL européennes au sein du G29 avaient largement critiqué le texte, estimant que la collecte massive et indiscriminée de données était « susceptible de porter gravement atteinte au droit à la protection de la vie privée et aux données personnelles de tous les voyageurs ».

L’ombre du Privacy Shield plane

L’adoption de ces deux textes phares intervient au lendemain de l’avertissement envoyé par le G29 – le groupement des CNIL européennes – au sujet du « Privacy Shield ». Ce projet d’accord entre l’UE et les États-Unis, censé prendre la relève du Safe Harbor (invalidé par la Cour de justice de l’Union européenne fin 2015), reste en cours d’adoption. Les autorités de protection des données personnelles ont explicitement appelé hier la Commission Juncker à revoir sa copie.

Le manque de clarté et de cohérence du texte est tout particulièrement pointé du doigt, en raison de l’éparpillement d’annexes et d’autres documents accompagnant le projet de Privacy Shield. Il y est par ailleurs fait référence à la directive de 1995 sur les données personnelles, alors que le règlement approuvé aujourd’hui par les eurodéputés entrera bientôt en vigueur. Autre problème : les moyens de recours offerts au citoyen, qui sont jugés trop complexes par le G29.

Les CNIL européennes s’inquiètent surtout du fait que le texte « ne contient pas assez de détails permettant d’exclure une collecte massive et indéterminée de données personnelles en provenance d’Europe ». Une remarque pour le moins embarrassante quand on sait que la CJUE s’est justement appuyée sur les révélations d’Edward Snowden pour invalider le Safe Harbor... Cela n’a néanmoins pas empêché le G29 de reconnaître que le Privacy Shield emportait « d’importantes améliorations » par rapport à son prédécesseur, notamment en matière de transparence.