La troisième journée du était en partie consacrée à la thématique «Entreprises et droits de l’Homme», qui a attiré bon nombre de congressistes malgré la dizaine de séances techniques concomitantes. Avec un coup de projecteur sur la protection des données, enjeu croissant renforcé par l’entrée en vigueur du règlement général sur la protection des données (RGPD) européen en mai 2018 et par l’accélération de l’utilisation des données au niveau mondial.
L’ancienne commissaire chargée de la justice et des droits fondamentaux a esquissé un résumé historique de la genèse du RGPD, racontant le lobby intense auquel elle a dû faire face lorsqu’elle a présenté la première ébauche d’une réglementation harmonisée et applicable à tous les États membres.
«Presque personne n’appliquait la directive précédente de 1995 et la Commission ne faisait pas en sorte que les États l’appliquent, et les 28 lois nationales étaient contradictoires entre elles, n’offrant aucune protection aux citoyens», se souvient Mme Reding.
Un «wild west, un chaos absolu» auquel elle n’a pu mettre fin que grâce au qui a mis au jour plusieurs programmes de surveillance pilotés par des agences américaines, dont la NSA. «Les ministres n’ont plus osé s’opposer» au RGPD, «qui a aussi obtenu une », jubile-t-elle, «même si certaines failles demeurent».
Nous avons une grande faiblesse: nous prenons au sérieux ce que disent les traités.
Mené par la Luxembourgeoise au niveau de la Commission, ce combat pour protéger les données à caractère personnel l’a aussi été par la Cour de justice de l’UE. «Nous avons une grande faiblesse: nous prenons au sérieux ce que disent les traités», indique Thomas von Danwitz, juge à la Cour depuis 2006.
Et ce que dit la Charte européenne des droits fondamentaux, adoptée en 2000 et dotée en 2007 par le traité de Lisbonne d’une valeur contraignante, c’est que «toute personne a droit à la protection des données à caractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.» Une clause qui «n’apparaît nulle part ailleurs au monde», souligne le juge.
De fait, la protection des données a commencé à défrayer la chronique à partir de 2008 avec une succession d’affaires tranchées par la CJUE. En commençant par l’arrêt Satakunnan, qui pose la question de la pondération entre l’intérêt public et le droit à la vie privée (l’histoire était partie de Finlande où demeurait une tradition d’accès public aux déclarations de revenus des autres citoyens – sauf qu’un média finnois a mis à disposition un outil permettant à chaque citoyen d’être informé par SMS sur la déclaration de revenus d’autres citoyens [voisins ou personnalités publiques]).
Le RGPD n’est pas un texte définitif et il faudra le remettre sur le métier.
«Le sujet s’est posé dans toute son ampleur à partir de 2008», constate M. von Danwitz, «et les affaires sont devenues de plus en plus compliquées avec des intérêts majeurs en cause, comme la pondération entre la sécurité publique et la protection des données à caractère personnel ou encore des intérêts financiers.» Notamment lorsque viennent à la barre des géants du numérique dont le modèle d’affaires repose sur la collecte et l’utilisation massive des données.
«En tant que juge, j’ai l’impression que certains milieux économiques doivent se familiariser avec le besoin de protection des données de nos sociétés», déclare avec diplomatie le magistrat allemand. Le défi étant que la structure monopolistique de certains géants ne permet pas à ses clients un véritable choix et ne les soumet donc pas à la pression pour agir autrement sous peine d’effondrement de leur modèle.
La jurisprudence de la Cour de justice de l’UE s’affine encore avec récemment une limitation du fameux droit à l’oubli – en tout cas au déréférencement de faits anciens – obtenu dans l’arrêt Google Spain. Un autre arrêt Google fin septembre a en effet confirmé que le RGPD et les obligations en matière de protection des données ont une portée territoriale limitée aux frontières de l’UE, même si l’UE dispose des compétences pour leur donner une portée mondiale.
Sachant que des tribunaux nationaux peuvent se déclarer compétents pour juger d’effets extraterritoriaux. «Il faut voir comment le Parlement réagit à cette invitation de la Cour à clarifier» ce point du RGPD, commente le juge, tandis que Mme Reding confirme que «le RGPD n’est pas un texte définitif et [qu’]il faudra le remettre sur le métier».
Les entreprises sont dans une situation inconfortable.
En attendant, «les entreprises sont dans une situation inconfortable», souligne Herwig Hofmann, professeur de droit public européen et transnational à l’Uni et avocat plaideur des devant la CJUE. «Elles peuvent transférer des données à l’intérieur du marché unique mais si elles veulent le faire au-delà, elles doivent respecter certaines conditions», en particulier de fournir des , comme une certification ou des clauses de protection de données édictées par une autorité de contrôle. Le tout afin de valider que la protection des données reste adéquate à celle pratiquée au sein de l’UE.
Les géants du numérique se sont adaptés, avec plus ou moins de malice. Comme Facebook, officiellement respectueux du (qui a remplacé l’accord Safe Harbor entre l’UE et les États-Unis), mais qui s’est arrangé pour redéfinir ses obligations contractuelles. «Votre dernière mise à jour de Facebook vous a conduit à valider le fait que le traitement de vos données devient une obligation contractuelle», indique l’universitaire (rires jaunes dans la salle).
Le Royaume-Uni aura donc beaucoup de difficultés à obtenir une décision d’adéquation.
Autre nuance non négligeable: certains pays garantissent la protection des données personnelles de leurs citoyens uniquement. Les États-Unis par exemple. D’où le champ libre laissé aux géants comme Facebook pour siphonner les données de milliards d’autres citoyens. Et toutes les autorités nationales n’obligent pas les entreprises à déclarer le transfert de données. «L’enjeu pour les entreprises est en réalité le transfert de données puisqu’elles vivent avec le risque de renforcement législatif si elles ne tracent pas où vont leurs données», poursuit M. Hofmann. Surtout lorsque des impératifs de sécurité nationale s’en mêlent.
À garder à l’œil: le sort du Royaume-Uni voué à quitter l’UE , sous réserve de la ratification de l’accord négocié par Boris Johnson avec l’UE27 par la Chambre des communes issue des . «En quittant l’UE, le Royaume-Uni devient un pays tiers dès lors soumis au principe de l’adéquation», souligne M. Hofmann.
Or l’île a récemment connu un revers cinglant devant la Cour européenne des droits de l’Homme qui a considéré que la loi britannique viole les standards énoncés dans la Charte européenne des droits de l’Homme. «Le Royaume-Uni aura donc beaucoup de difficultés à obtenir une décision d’adéquation» validant le transfert de données de l’UE vers son territoire. De quoi provoquer des sueurs froides à la City tant le secteur financier suppose des transferts de données «gigantesques».