a réforme lancée en 2012 par l’Union européenne (UE) pour assurer un haut niveau de protection des données à caractère personnel pour les citoyens des 28 pays membres verra-t-elle le jour en 2017 ? C’est possible, répond Gregory Voss, avocat, spécialiste du droit des affaires et enseignant à Toulouse Business School. Il reste encore à trouver un accord entre le Parlement européen, le Conseil de l’UE et la Commission européenne.

par Olivier Jacoulet

«C’est la phase du trilogue », explique celui qui s’intéresse aux problématiques juridiques liées aux nouvelles technologies. Depuis juin 2015, ces trois institutions de l’UE négocient pour parvenir à un texte unique, le Règlement général sur la protection des données (RGPD). Principales difficultés: l’obtention du consentement individuel concernant le traitement des données personnelles, les droits et devoirs des collecteurs de données, le montant des amendes en cas d’infraction.

Dès que les trois instances de l’UE se seront mises d’accord sur un projet de texte, celui-ci ne pourra être adopté qu’après deux lectures consécutives du même texte par le Parlement, directement élu par les citoyens, et le Conseil qui réunit les gouvernements des 28 états membres.

Ce RGPD harmonisera le droit européen et pourrait avoir pour autre atout d’engager un processus d’harmonisation du droit international en matière de protection des données personnelles vers le haut.

L’impact du RGDP pour les entreprises va dépendre du texte final adopté par l’UE. « Ce qui est certain c’est qu’il y aura une plus grande responsabilisation des entreprises qui gèrent les données », souligne Gregory Voss. Certaines entreprises vont sans doute devoir créer des postes de délégué à la protection des données. Des entreprises spécialisées dans l’impact des juridictions en matière de protection de la vie privée vont également voir le jour. Il conseille donc aux chefs d’entreprises d’effectuer une veille législative en matière de protection des données personnelles afin de se conformer à la législation dès que celle-ci entrera en vigueur.

Depuis l’affaire Snowden, la réforme législative a connu de nombreux soubresauts. Edward Snowden, ancien consultant de la CIA et membre de la National Security Agency, a révélé en 2013, que Washington avait collecté auprès de géants américains des nouvelles technologies des informations à caractère privé de personnes vivant hors des Etats-Unis. Deux ans plus tard, le 6 octobre 2015, dans une affaire sur le transfert des données d’un citoyen autrichien aux États-Unis par Facebook, la Cour de justice de l’UE (CJUE) invalidait les Principes de la sphère de sécurité (Safe Harbor Principles) qui permettaient un tel transfert.

D’un autre côté, l’affaire Google Privacy Policy, qu’analyse Gregory Voss dans son article « European Union Data Privacy Law Develpoments»,  révèle que les Etats membres de l’UE ont à leur disposition des outils pour contraindre le moteur de recherche à respecter la vie privée. Ainsi, les autorités de surveillance de la protection des données personnelles de plusieurs pays européens ont prononcé contre Google des amendes de plusieurs centaines de milliers d’euros. Même si ces pénalités sont relativement peu élevées par rapport au chiffre d’affaire annuel de Google (59 milliards d’euros en 2014), elles annoncent des mesures coercitives plus sévères basées sur le chiffre d’affaires de l’entreprise sanctionnée dans le projet de législation européen.

Note : cet article est un extrait de l’article du même auteur publié en octobre 2015 sur le blog de Toulouse Business School : www.lien.fr

Sources : entretien avec Gregory Voss, articles publié dans The Business Lawyer (volume 70, number 1, Hiver 2014-2015), Journal of Internet Law (volume 17, number 9, mars 2014) et The Year in Review, publication annuelle de ABA/Section of International Law (Printemps 2014) - Le Monde Eco & Entreprises 27-28/09/15 ; 11-12/10/15 ; 14/10/15 ; cnil.fr