Bouygues Europe
Nos positions

Protection des données

Vers une réforme du cadre réglementaire de la protection des données

Le droit à la protection des données à caractère personnel est expressément reconnu par l’article 8 de la Charte des droits fondamentaux et par le traité de Lisbonne. La directive européenne de 1995 définit le cadre réglementaire européen de protection des données. Elle établit un équilibre entre un niveau optimal de protection des données à caractère personnel et une libre circulation de ces données au sein de l’Union européenne. La directive de 1995 se trouve notamment à l’origine de la création, dans chaque Etat membre, d’un organisme indépendant chargé de la protection de ces données.

Cependant, pour s’adapter aux évolutions technologiques du monde numérique et à la généralisation de l’usage de l’Internet et des services en ligne, la Commission européenne souhaite réformer ce cadre réglementaire. Pour ce faire, elle a présenté en janvier 2012 une proposition de règlement, apportant par son applicabilité directe plus de sécurité juridique. D’après Jan Albrecht, député européen et rapporteur sur le texte, l’objectif consiste à suivre les lignes directrices établies par l’actuelle directive, tout en unifiant et en rendant plus accessible le cadre juridique de la protection des données.

La Commission souhaite par là faciliter le développement de l’économie numérique européenne et accroître la maîtrise des utilisateurs sur leurs données personnelles. Pour ce faire, le règlement impose la règle du "consentement explicite" – "opt-in" -  du consommateur pour le traitement par le fournisseur de service de ses données à caractère personnel et interdit la pratique actuelle, qui était fondée sur le consentement implicite avec faculté de refuser ce consentement – "opt-out" .

 Le "droit à l’oubli" est également introduit par la proposition de règlement. Un consommateur pourra ainsi demander au responsable de traitement la suppression de ses données à caractère personnel et de toutes les copies ou reproductions de celles-ci si aucun motif légitime ne justifie leur conservation.

Le droit à la portabilité des données, qui consiste en le transfert de données à caractère personnel d’un prestataire de services à un autre, sera facilité.

Enfin, avec le développement des services de cloud, le transfert des données vers des pays tiers devient également fréquent. La proposition de règlement dispose donc que la législation européenne doit s’appliquer si les données personnelles d’un citoyen de l’Union européenne font l’objet d’un traitement en dehors du territoire européen.

La Commission souhaite également renforcer les cas d’investigation et de sanction par l’autorité de contrôle (investigations, droits d’audit, décisions liantes, amendes) et les obligations du sous traitant.

La position du Groupe

La proposition de règlement consistant à imposer le consentement explicite – "opt-in" - et à interdire le recours au consentement implicite avec faculté de refuser ce consentement – "opt-out" ne semble pas compatible avec le développement des services numériques et ne sert pas l’intérêt bien compris du consommateur.

En effet, la procédure d’opt-out est désormais bien comprise des utilisateurs. Elle permet d’utiliser les données des clients pour leur proposer des services mieux ciblés : il est établi que certains modèles de l’économie numérique font par exemple appel à la publicité, sous forme de bandeaux, voire de vidéos. Si l’opt-in devenait la règle, le taux de clients dont les données seront utilisées pour adapter les messages publicitaires à leurs besoins sera plus faible qu’aujourd’hui, où l’opt-out prévaut. Le consommateur subira alors des inserts publicitaires présentant un faible intérêt pour lui, alors que l’utilisation de ses données personnelles lui permet de bénéficier d’une publicité correspondant à ses besoins. Il en va de même pour les propositions de services audiovisuels, qui ont tout à gagner d’une meilleure cohérence avec les habitudes du consommateur.

Afin toutefois de protéger le consommateur, on pourrait lui proposer non seulement le mécanisme d’opt-out, activable à tout moment, mais aussi, pour celui qui ne souhaite pas l’activité en permanence, un mécanisme d’effacement des données antérieures, à l’instar de l’effacement de cookies ou de l’historique de navigation, de telle sorte que ses données puissent être remises à zéro, sans pour autant se priver dans le futur de l’utilisation de ses nouvelles données personnelles.

Par ailleurs, il semble difficile d’imposer la transmission des informations de la personne “sous forme électronique” par le responsable de traitement. Une telle mesure aurait un impact très fort sur les règles de sécurité à mettre en œuvre et n’est pas adaptée à toutes les entreprises. Le responsable de traitement doit rester libre des moyens qu’il propose pour faire exercer le droit d’accès et communiquer ces informations.

Concernant le droit à la portabilité des données,  on ne peut qu’être favorable au renforcement de ce droit. Néanmoins, l’obligation de restituer les données des personnes dans un « format structuré et couramment utilisé » pour que la personne puisse transmettre ces données à un autre système de traitement automatisé pourrait représenter un coût considérable pour les entreprises, alors qu’aucune étude d’impact n’a été réalisée à ce jour.

Le droit à l’oubli numérique est un élément clé du dispositif et correspond à une attente forte des citoyens. Toutefois, il est illusoire d’imaginer que toutes les entreprises seront capables de faire effacer par les tiers les données qui ont été publiées antérieurement. Une telle obligation est parfaitement inapplicable.

Par ailleurs, l’élargissement des procédures de consultation préalable des autorités de contrôle pourrait les rendre très intrusives, ce qui reviendrait à généraliser le régime de l’autorisation qui doit pourtant rester exceptionnel. Les sanctions prévues par ces autorités semblent en outre disproportionnées (amendes pouvant aller jusqu’à 2% du CA !).

Enfin, le recours aux CIL (Correspondants Informatiques et Liberté), que le projet de texte rendrait obligatoire pour les entreprises de plus de 250 salariés, devrait rester facultatif.

Lien utile

Proposition de règlement du Parlement européen et du Conseil sur la protection des données