Plus de droits pour les consommateurs. Moins d’entraves pour les entreprises. Telles étaient les promesses que j’avais émises lors de la présentation de ma proposition législative concernant «la protection des données personnelles» le 25 janvier 2012, en tant que Commissaire européen.

De nombreux chefs de petites et moyennes entreprises sont inquiets. Parce que cette réforme s’applique à toutes les entreprises. Parce qu’ils devront s’assurer du consentement, de l’information et de l’accès de leurs clients aux données qui les concernent (noms, adresses ou autres coordonnées).

Qu’ils se rassurent. La nouvelle réforme ne s’appliquera pas de la même façon à l’épicerie du coin, à la grande entreprise de construction et à Google ou Facebook. Bien au contraire. Les obligations sont calibrées en fonction de l’activité et de la taille de l’entreprise ou de la nature des données traitées. C’est une avancée majeure par rapport à la législation en vigueur depuis 1995, qui ne faisait pas cette distinction.

Quatre exemples attestent de l’attention particulière portée aux PME, qui restent la colonne vertébrale de notre tissu économique local. Sur base des nouvelles règles européennes, qui seront directement applicables à Luxembourg, les entreprises de moins de 250 salariés dont le traitement de données n’est pas l’activité principale seront exemptées de la plupart des obligations. Elles n’auront ni à désigner de délégué à la protection des données, ni à consigner leurs activités de traitement, ni à signaler les violations de données aux personnes physiques, ni à conduire d’étude d’impact.

Pour elles, les formalités de déclaration préalable auprès des autorités nationales de protection des données, qui existaient depuis 1995, seront éliminées. Cette élimination de la bureaucratie est estimée à une économie de 130 millions d’euros par an.

La simplification va aussi bénéficier aux PME spécialisées dans le numérique, qui, jusqu’à aujourd’hui, devaient remplir 28 formalités administratives auprès de 28 autorités nationales, payer 28 fois les frais y afférents, et se conformer à 28 législations différentes si elles voulaient opérer sur l’ensemble du territoire européen.

À partir de mai 2018, les mêmes règles seront appliquées partout en Europe et pour tous les acteurs économiques, y compris les entreprises étrangères qui jusqu’ici échappaient à la réglementation: «Un continent, une loi.» Pour toutes les entreprises, sans discrimination. Pour tout le marché européen, sans entraves. Cette nouveauté d’importance va ouvrir le marché, permettre l’innovation, éviter les lourdeurs administratives, forcer les mastodontes étrangers à se conformer à la législation européenne.

En même temps, le nouveau texte protégera mieux le droit des individus à la protection de leur vie privée. Le règlement prévoit un équilibre entre le renforcement des droits des citoyens et le démantèlement des entraves aux entreprises, pour rétablir la confiance des uns et la sécurité juridique des autres. Et pour créer la base du marché numérique que nous serons amenés à bâtir dans les décennies à venir.

Le législateur a donné deux années aux gouvernements, aux administrations et aux entreprises pour se conformer aux nouvelles règles. Cette période arrive à sa fin en mai de cette année. Sur la dernière ligne droite, il est indispensable d’accompagner les entreprises dans leurs efforts de mise en conformité, de les informer au cas par cas et de les sensibiliser sur leurs obligations. Comme le font la Commission européenne, la Commission nationale pour la protection des données et les organismes professionnels qui ont lancé des outils en ligne, qui ont organisé des réunions d’information.

J’espère que les entreprises sauront faire la distinction entre les informations objectives et les sollicitations commerciales. Les faits doivent prévaloir sur les fake news. Si elle est bien appliquée, cette réforme est une chance pour l’Europe. Et la clé pour le futur au Luxembourg, qui a vocation à devenir l’espace «données sécurisées» de notre continent.