La réforme lancée en 2012 par l’Union européenne (UE) en vue d’assurer un haut niveau de protection des données à caractère personnel pour les citoyens des 28 pays membres verra-t-elle le jour en 2017 ? C’est possible, répond Gregory Voss, avocat, spécialiste du droit des affaires et enseignant à Toulouse Business School (TBS). Il reste encore à trouver un accord entre le Parlement européen, le Conseil de l’UE et la Commission européenne. 

Par Olivier Jacoulet

 "C’est la phase du trilogue », explique Gregory Voss, qui suit ce dossier depuis plusieurs années et s’intéresse aux problématiques juridiques liées aux nouvelles technologies. Depuis juin 2015, ces trois institutions de l’UE négocient pour parvenir à un texte unique, le Règlement général sur la protection des données (RGPD). Dr. Voss souligne qu’« il existe des points de désaccord entre le Parlement et le Conseil », en particulier sur l’obtention du consentement individuel concernant le traitement des données personnelles, les droits et devoirs des collecteurs de données, le montant des amendes en cas d’infraction.

Dès 2012, la Commission européenne a proposé une nouvelle législation sur la protection des données à caractère personnel. Mais ce texte voté par le Parlement européen le 12 mars 2014, attend désormais d’être validé par le Conseil de l’UE. Gregory Voss explique que cette réforme permettra de protéger les citoyens européens et leurs données personnelles même pour les entreprises transnationales responsables du traitement des données via Internet dont le siège ne se trouve pas dans l’UE. Si pour l’enseignant, le niveau de protection des données personnelles en Europe est « en général élevé », il estime que le niveau des sanctions financières est trop bas, contrairement à ce qui se passe aux Etats-Unis.

Dès que les trois instances de l’UE se seront mises d’accord sur un projet de texte, celui-ci ne pourra être adopté qu’après deux lectures consécutives du même texte par le Parlement, directement élu par les citoyens, et le Conseil qui réunit les gouvernements des 28 états membres. Une fois adopté (sans doute en 2016, même si certains penchent pour une adoption fin 2015), il deviendra applicable dans les deux années suivant l’adoption.

Pour Gregory Voss, ce RGPD harmonisera le droit européen et pourrait avoir pour autre atout d’engager un processus d’harmonisation du droit international en matière de protection des données personnelles vers le haut. Par ailleurs, dit-il, la réduction du fardeau administratif grâce à ce seul texte de loi « permettra d’économiser 2,3 milliards d’euros par an, selon les calculs de la Commission».

Le processus peut sembler long mais le spécialiste du droit des affaires rappelle qu’« il a fallu 5 années pour négocier la Directive européenne de 1995 sur la protection des données à caractère personnel. Pour le RGPD nous n’en somme qu’à 3 ans et demi, il reste donc de la  marge », conclue-t-il.

Le RGPD fait l’objet d’un intense travail de lobbying par les représentants des responsables du traitement des données. Gregory Voss note que ces derniers, même s’ils ralentissent le travail législatif, peuvent jouer un rôle légitime en informant le législateur sur les réalités des sociétés collectrices de données.

Depuis l’affaire Snowden, la réforme législative a connu de nombreux soubresauts. Edward Snowden, ancien consultant de la CIA et membre de la National Security Agency (NSA), révélait en juin 2013, que le gouvernement des Etats-Unis avait collecté auprès de 9 géants américains des nouvelles technologies des informations à caractère personnel au sujet de personnes vivant hors des Etats-Unis, notamment dans le cadre d’un programme de surveillance électronique appelé PRISM.. Dès le 21 octobre 2013, le Parlement européen proposait un texte dans lequel une des dispositions stipulait que « le responsable du traitement ou le sous-traitant informent […] la personne concernée de toute communication de données à caractère personnel à des autorités publiques au cours des douze derniers mois consécutifs». Dans son article, « Looking at the EU Data Protection Law Reform Through a Different Prism: the Proposed EU General Data Protection Regulation Two Years Later », Gregory Voss souligne que cette disposition « est de toute évidence influencée par l’affaire PRISM ».

En général, les affaires liées à la protection des données stimulent le débat sur la vie privée en Europe,  même si elles ont ébranlé la confiance entre l’UE et les Etats-Unis. Ainsi, le 6 octobre 2015, dans une affaire sur le transfert des données d’un citoyen autrichien aux États-Unis par la filiale de Facebook en Europe, la Cour de justice de l’UE (CJUE) a invalidé les Principes de la sphère de sécurité (Safe Harbor Principles) qui permettait un tel transfert. En cas de menaces sur la sécurité des Etats-Unis, une clause permettait aux autorités étatsuniennes d’accéder aux données personnelles des Européens. « La CJUE a tout naturellement suivi les conclusions de l’avocat général », note Gregory Voss suite à l’annonce de la décision de la CJUE qui selon lui, « pose un problème pour les plus de 4000 sociétés américaines et européennes qui dépendent des Safe Harbor Principles pour transférer des données à caractère personnel aux États-Unis. Reste à voir les actions que les institutions et les entreprises européennes et américaines vont engager suite à cette décision », ajoute-t-il. 

D’un autre côté, même en l’absence d’un RGPD, l’affaire Google Privacy Policy, qu’analyse Gregory Voss dans son article « European Union Data Privacy Law Develpoments»,  révèle que les Etats membres de l’UE ont à leur disposition des outils pour contraindre le moteur de recherche à respecter la vie privée et les données à caractère personnel. Ainsi, après plusieurs injonctions, les autorités de surveillance de la protection des données personnelles d’Allemagne d’Espagne, de France, d’Italie, des Pays-Bas et du Royaume Uni ont prononcé à l’encontre de Google des sanctions, notamment des amendes de plusieurs centaines de milliers d’euros. Pour Voss, même si ces pénalités sont relativement peu élevées par rapport au chiffre d’affaire annuel de Google (59 milliards d’euros en 2014), elles annoncent des mesures coercitives plus sévères basées sur le chiffre d’affaires de l’entreprise sanctionnée dans le projet de législation européen.

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est en désaccord avec Google sur le déréférencement suite à la décision Google Spain de la CJUE. Depuis la reconnaissance de ce droit par le tribunal, en 2014, toute personne peut demander à un moteur de recherche d’effacer les résultats apparaissant en cas de requête à partir de son nom. Conséquence: Google a reçu plusieurs dizaines de milliers de demandes de citoyens français. Elle a donc procédé au déréférencement de certains résultats sur les extensions européennes du moteur de recherches (.fr ; .es ; .co.uk ; etc.). Mais elle n’a pas procédé au déréférencement sur les autres terminaisons géographiques ou sur google.com, consultable par tout internaute. En mai 2015, la CNIL a mis en demeure Google de procéder au déréférencement sur tous les noms de domaine. Mais Google fait valoir que cette décision constitue une atteinte au droit à l’information du public et donc une forme de censure. Un médiateur sera sans doute nommé pour trouver une solution. 

Pendant que l’Union européenne tente d’arracher un texte commun sur la protection des données personnelles, les Etats comme la France continuent de renforcer leur arsenal législatif. Le gouvernement a ainsi présenté le 26 septembre 2015 un projet de texte soumis à l’avis du public pour une « République numérique » : une trentaine d’articles portant sur le secret des correspondances électroniques, la portabilité des fichiers, le libre accès aux données publiques. Gregory Voss estime que la consultation des citoyens dans l’élaboration du document est « une procédure intéressante dont il conviendra de suivre l’évolution ». 

D’après un entretien en anglais de Gregory Voss et les articles « European Union Data Privacy Law Developments », publié dans The Business Lawyer (volume 70, number 1, Hiver 2014-2015), « Looking at European Union Data Protection Law Reform Through a Different Prism : the Proposed EU General Data Protection Regulation Two Years Later », publié dans Journal of Internet Law (volume 17, number 9, mars 2014) et « Privacy, E-Commerce, and Data Security », publié dans The Year in Review, publication annuelle de ABA/Section of International Law (Printemps 2014), co-écrit avec Katherine Woodock, Don Corbet, Chris Bollard, Jennifer L. Mozwecz, et João Luis Traça. 

Application

L’impact du RGDP pour les entreprises va dépendre du texte final adopté par l’UE. « Ce qui est certain c’est qu’il y aura une plus grande responsabilisation des entreprises qui gèrent les données », souligne Gregory Voss. Certaines entreprises vont sans doute devoir créer des postes de délégué à la protection des données  (DPD) sur le modèle du Correspondant Informatique et Libertés (CIL) en France. Des entreprises spécialisées dans l’impact des juridictions en matière de protection de la vie privée vont également voir le jour. Il conseille donc aux chefs d’entreprises d’effectuer une veille législative en matière de protection des données personnelles afin de se conformer à la législation dès que celle-ci entrera en vigueur. Il suggère de sensibiliser les employés par des formations sur la protection des données personnelles. Enfin, les entreprises devront mettre en place des procédures adéquates pour se conformer à la législation sur la protection des données à caractère personnel, y compris celles qui permettront les notifications qui seront requises par le RGDP des violations de données à caractère personnel.

Méthodologie

Pour rédiger ses articles sur la législation en matière de protection des données à caractère personnelle, Gregory Voss a analysé de nombreux documents juridiques ainsi que « des centaines de pages de propositions, d’amendements, d’avis » émanant surtout des travaux du G29, le groupe de travail indépendant de l’UE sur le traitement des données à caractère personnel. Dans ses articles, il met en perspective les propositions des instances européennes pour l’adoption d’un RGPD et offre des conseils pratiques pour les entreprises. Il a également examiné l’évolution des positions des différentes instances européennes, Commission européenne, Parlement, Conseil de l’UE et  a étudié les réactions du législateur suite aux révélations d’Edouard Snowden en matière de surveillance électronique. 

Biographie

Dr Gregory Voss a rejoint Toulouse Business School en 2011. Coresponsable de la Majeure International Management, il est titulaire d'un doctorat en droit (Juris Doctor) de l'Université du Michigan et d'un DESS en droit et systèmes d'information (devenu Master Droit et Informatique) de l'Université de Toulouse 1 Capitole. Il est membre associé de l'Institut de Recherche en Droit Européen International et Comparé (IRDEIC) de l'Université de Toulouse 1 Capitole (Centre d'excellence Jean Monnet), avocat aux barreaux de New York et Toulouse et ancien conseiller juridique de plusieurs entreprises importantes. S’il devait résumer sa philosophie, cela serait : travailler dur et, pour citer l’ancien mantra de Google, « ne soyez pas malveillants ».