Les divergences de protection des données au sein de l’Union Européenne : un coût réel pour les entreprises !
Les divergences de protection des données au sein des 27 états membres coûteraient 2,3 milliards d’euros par an aux entreprises qui doivent faire le grand écart entre leurs politiques spécifiques de traitement de données personnelles et l’hétérogénéité des différentes lois nationales. Ce coût financier lié à cette problématique de gestion des données personnelles constitue un facteur de dissuasion pour les PME qui souhaiteraient s’étendre au-delà des frontières. Cet environnement juridique fragmenté fait naître ainsi une insécurité juridique et produit une protection inégale des personnes physiques.
1995, une première tentative d’harmonisation européenne
C’est en 1995 qu’a eu lieu la première tentative d’harmonisation de la protection des données par le biais de la Directive communautaire (95/46/CE). L’objectif de ce texte était d’assurer un niveau équivalent de protection des données dans toute l’Union européenne. Chaque état a librement transposé la directive, par des lois internes s’inscrivant dans le cadre souhaité par l’Union européenne, et créant ainsi de véritables divergences entre les états européens. Certains ont interprété la directive de manière assez libérale, d’autres ont donné la priorité à la protection des données.
L’influence de l’Histoire et de la culture sur le cadre législatif
Si des Etats comme la France ou l’Allemagne où l’Histoire a induit une forte crainte concernant les données enregistrées sur les fichiers sont depuis longtemps particulièrement vigilants à la protection des données, il n’en est pas de même pour d’autres pays qui ont légiféré en ne tenant compte que de la Directive européenne. Ainsi, la Cour constitutionnelle allemande a reconnu un droit à l’ « autodétermination informationnelle » dans une décision historique de 1983, alors que la France dès 1978 a adopté sa loi relative à l’informatique aux fichiers et aux libertés. A ces Etats s’opposent les Etats membres qui ont récemment adopté un cadre normatif national plus impulsé par la Directive de 1995 (Royaume-Uni 1998, Espagne 1999, Pays Bas 2001).
Des politiques de protection à plusieurs vitesses
Au-delà des divergences législatives, les Etats mettent en œuvre des politiques de protection avec des moyens qui diffèrent : les procédures d’applications, les fonds alloués aux autorités de protection (« CNIL nationales ») sont loin d’être équivalents dans tous les Etats membres. Si au Royaume-Uni l’autorité de protection n’a que peu de moyens financiers et de faibles pouvoirs de sanction ; il n’en est rien en Espagne où l’autorité de protection a de forts pouvoirs de sanction financière quelle n’hésite pas à utiliser au-delà de ses propres frontières. Tandis qu’en France, la CNIL est plutôt considérée comme une autorité de protection forte, dotée de moyens et de pouvoirs de sanction non négligeables.
A quand un Règlement homogène ?
Une harmonisation plus rigoureuse est donc nécessaire et c’est tout l’objet du Règlement actuellement en discussion à Bruxelles. Dès son adoption, il s’appliquera directement dans les Etats membres, contribuant à l’unification du droit européen en matière de données personnelles.
Ce règlement fait l’objet de vastes débats qui révèlent des divergences des Etats membres. Ainsi, sur la question du guichet unique qui soumettrait les multinationales aux autorités de protection de l’Etat dans lequel elles possèdent leur établissement principal, le Parlement et la CNIL se sont opposés craignant un « dumping » de la donnée et un établissement des entreprises qui veulent investir en Europe dans les Etats les moins protecteurs. Avant même sa promulgation, ce règlement révèle les dissensions entre états membres concernant la protection des données qui fait inéluctablement l’objet d’une forte spéculation des acteurs du web !
Les données personnelles : divergence de conception entre l’Europe et les Etats-Unis
Le 19 avril 2012, le Parlement Européen s’est prononcé en faveur de la communication aux autorités américaines, des données personnelles des passagers des vols transatlantiques. Cet accord dit « PNR » (Passenger Name Record) concerne 19 données à caractère personnel transmises dans le cadre de la lutte contre le terrorisme … et qui pourront être exploitées exceptionnellement à d’autres fins. Cet accord, trouvé au prix de nombreuses années d’âpres discussions, n’est pourtant qu’un compromis de façade qui cache les profondes divergences de conception et de réglementation entre les Etats-Unis et l’Europe au regard des données personnelles.
Outre-Atlantique, la vie privée ne serait donc pas un droit fondamental !
Contrairement à l’Europe, les Etats-Unis n’envisage pas la vie privée comme un droit aussi fondamental que la liberté d’expression. En outre, les Etats-Unis n’ont pas d’idées préconçues sur ce que doit être la vie privée à l’ère du numérique. Rien n’assure donc qu’ils considéreront la protection de la vie privée sur Internet de la même manière que dans la vie réelle. Ainsi, aux Etats-Unis, les données numériques appartiennent à ceux qui les traitent comme en atteste les Privacy Policy du mastodonte Facebook. Dès lors qu’elles ont été publiées, l’intéressé n’a plus la main mise sur ses propres données !
Le droit à la vie privée est le socle de la protection des données personnelles.
La position européenne, radicalement différente, s’inscrit dans la continuité : les données personnelles numériques sont un prolongement de l’individu et à ce titre elles sont soumises à un droit basé sur le respect de la vie privée. Les données personnelles doivent être maîtrisées par l’individu qui doit pouvoir contrôler toute intrusion dans son intimité. Pour cela, la Loi reconnaît un droit d’information, d’accès, de rectification et de suppression des données personnelles.
Entre Europe et Etats-Unis, des divergences fondamentales quant à la notion même de régulation.
Dans les pays européens, les institutions bâtissent une réglementation qui s’impose à tous.
Aux Etats-Unis, la philosophie plus libérale a fait émerger le concept d’autorégulation : ceux sont les acteurs eux-mêmes qui s’imposent leurs propres limites et leur propres règles au regard du marché. C’est dans ce cadre que la Maison Blanche a publié en février 2012 un rapport énonçant une série de propositions, sous forme d’orientations, afin que les acteurs de l’Internet développent un code de conduite homogène pour le traitement des données des consommateurs. Cette initiative illustre bien le rôle des institutions américaines qui invitent à l’autorégulation sans pour autant imposer un modèle.
A quand une régulation internationale ?
Entre des flux de données engendrés par Internet qui ne connaissent pas les frontières, et des divergences conceptuelles qui entraînent une insécurité et une complexité juridique, le débat ne peut pas rester national. Les « CNIL européennes » souhaitent donc une convention internationale sur la protection des données personnelles … mais seront-elles en mesure d’imposer aux Etats-Unis leur conception protectrice de l’utilisateur ?
Flux RSS
