Accord des 28 Etats membres de l’UE sur la protection des données personnelles

La Garde des sceaux, Ministre de la Justice, Mme Christiane Taubira, participe aujourd’hui à un Conseil de l’UE-Justice, qui se tient à Luxembourg.

PNG - 211.1 ko
Salle du Conseil de l’UE-Justice, Luxembourg, 15 juin 2015
Conseil de l'UE

Les 28 ministres se sont accordés lors du Conseil sur une approche générale sur le projet de règlement pour la protection des données personnelles, qui doit désormais être négocié avec le Parlement européen.

Protection des données : Déclarations à la presse de la Garde des sceaux, Ministre de la Justice, Mme Christiane Taubira, en marge du Conseil de l’UE-justice (Luxembourg, 15 juin 2015)

PNG - 139 ko
Christiane Taubira au Conseil de l’UE-Justice
Conseil de l'UE

"Vous avez vu que ce matin nous avons pu faire adopter l’approche générale présentée sur ce projet de règlement sur la protection des données personnelles, ce qui permet d’avancer puisque le trilogue sera en mesure commencer ses discussions.

La France a beaucoup œuvré pour ce projet de règlement. Nous nous sommes très fortement impliqués dès le début. Nous avons dit très clairement que nous sommes très soucieux de garantir un niveau élevé de protection des données personnelles concernant les citoyens.

Vous savez que le règlement concerne les données civiles et commerciales. Nous avons fait valoir très tôt que nous tenions à maintenir le niveau de protection que nous connaissons sur le plan national. En même temps, nous sommes préoccupés par les conditions dans lesquelles les entreprises européennes, et particulièrement les PME, peuvent exercer leurs activités sans subir d’entraves excessives par rapport notamment à la concurrence d’autres entreprises -donc améliorer la compétitivité des entreprises, sans pour autant prendre de risques sur la protection des données personnelles. Évidemment ce sont des objectifs difficilement conciliables.

Nous avons travaillé pour aboutir, en retenant un principe : c’est que d’une part, nous allons faciliter l’activité et assurer des conditions de liberté en amont, avant le traitement des données, mais renforcer la responsabilité en aval, c’est à dire assurer des contrôles qui permettent de vérifier que les entreprises respectent ces obligations.

Les pays se sont entendus pour ne pas descendre en deçà de la directive de 1995. Nous n’avons pas cessé de dire que nous pensons que le niveau de 1995 est trop faible dans la mesure où les techniques qui étaient disponibles à l’époque étaient beaucoup moins intrusives, moins invasives qu’aujourd’hui.

Aujourd’hui, nous disposons donc d’une approche générale sur un texte qui est une base sérieuse de discussions dans le cadre du trilogue. Ce texte nécessite de notre part, et nous l’avons fait ce matin, d’assurer une vigilance sur un certain nombre de points, y compris sur les acquis, sur les choses que nous avons obtenues ; c’est le cas par exemple pour le un droit d’opposition dans le cadre de l’utilisation de données sensibles pour les statistiques et la recherche, ainsi que pour la réutilisation de ces données pour des finalités différentes de celles qui étaient prévues au départ. Donc nous avons obtenu ce droit d’opposition. Nous allons nous assurer qu’il sera réel.

Ensuite, nous sommes vigilants également sur le régime prévu pour les pseudonymes. La France plaidait plutôt pour un système d’anonymisation. Nous considérons que ce régime de pseudonymes doit apporter toutes les garanties pour que ce ne soit pas un dispositif technique qui permette aux entreprises d’échapper à leurs obligations ; pour nous c’est un point de vigilance.

Et puis bien entendu nous avons des exigences très fortes sur le niveau de protection, en particulier des mineurs : nous avons beaucoup plaidé, et obtenu, un droit à l’oubli renforcé pour les mineurs. Il suffira qu’ils apportent la preuve de leur âge, de leur minorité, au moment où ils ont mis en ligne un certain nombre d’informations - on sait évidemment que ces jeunes qui sont nés avec ou même après internet ont tendance à mettre de nombreuses données personnelles à disposition - . Il faut les protéger de façon à ce qu’ils puissent retirer ces données, c’est à dire un droit à l’oubli renforcé.

Et puis la France est également très attachée à l’action de groupe. Nous avons eu gain de cause pour que l’action de groupe soit possible auprès de la Commission de contrôle. Nous n’avons pas encore obtenu qu’elle soit possible auprès d’un juge, mais nous estimons que c’est un instrument important pour permettre aux citoyens le respect de leurs données personnelles. Il ne suffit pas d’énoncer des principes. Il faut bien les traduire par des dispositions techniques et pratiques, et pour nous, l’action de groupe fait partie des instruments judiciaires qui permettent d’assurer effectivement la protection des données personnelles.

Enfin, nous estimons que pour que ce système soit crédible il faut que les sanctions le soient. Donc, il faut qu’elles soient renforcées, qu’elles soient effectives, qu’elles soient dissuasives, afin que des pratiques qui consisteraient à s’affranchir des obligations ne prospèrent pas.

Voilà pour l’essentiel. C’est donc un texte sur lequel nous estimons être arrivés à un bon compromis. La France a réussi à faire valoir des choses essentielles. Mais nous considérons aussi que le trilogue a du travail à faire et que nous pourrons encore améliorer certaines dispositions".

Madame la Ministre, en parlant des sanctions, est ce que vous pensez qu’il faut les renforcer à un niveau plus élevé que les 2% actuellement prévus dans l’accord, comme le Parlement le demande ?

Pour certaines entreprises, les 2% seront considérables. Il faut, à la fois, que ce soit pécuniairement pénalisant et psychologiquement dissuasif. 2% cela convient pour l’instant si la Commission a la capacité de mesurer effectivement les moyens, et notamment le chiffre d’affaires, de ces entreprises. Ce que nous appelons “renforcer les sanctions et les rendre effectives”, cela veut dire que nous soyons en capacité nous-mêmes de disposer des éléments d’informations qui rendent effectives ces sanctions.

Partagez-vous les doutes ou les craintes de certains Etats-membres sur l’article 6-4 (réutilisation des données) ?

Nous n’avons pas de craintes, mais des exigences que nous avons posées très clairement. Nous avons obtenu, c’est ce que j’indiquais tout à l’heure, le droit d’opposition. A partir du moment où des données ont été collectées pour des finalités ou pour une finalité précise, l’utilisation ultérieure de ces données méritent que les personnes concernées aient toutes les informations pour connaître l’usage.

Les acquis du droit d’opposition doivent être consolidés par le trilogue. C’est un point délicat parce que dans le souci de fluidifier l’activité des entreprises, un certain nombre de pays ont considéré qu’il ne fallait pas ajouter des complications administratives pour les entreprises. Il demeure que la priorité, pour nous en tout cas, est la protection élevée pour les citoyens. Nous continuons à penser, nous le redisons très fortement : l’utilisation de données pour des finalités différentes de celles pour lesquelles elles ont été collectées doit permettre un droit réel d’opposition de la part des citoyens.

Est-ce que cet accord impose de revenir sur les règles de Safe Harbour avec les Etats-Unis ?

Il parait logique que Safe Harbor soit renégocié après l’adoption de ce projet de règlement. Compte tenu du fait que celui-ci est vraiment protecteur et que nous apportons des garanties par rapport à la directive de 1995.

Vous avez des signaux de la Commission sur le fait qu’il peut y avoir un accord sur le Safe Harbour ?

Je dirais que la Commission négocie, elle informe assez peu. C’est sa compétence, si on lui en fait grief, ça ne peut être qu’à moitié. Nous l’avons déjà dit, nous estimons que nous ne disposons pas de suffisamment d’informations sur les négociations qui sont conduites sur Safe Harbor.

Nous avons déjà dit très clairement à la Commission, moi je l’ai dit à haute voix en Conseil des ministres, que nous pensons qu’à l’adoption du projet de règlement sur les données personnelles, Safe Harbor, doit être renégocié. Il nous faut de vraies garanties à ce propos.

C’était un dispositif relativement protecteur puisqu’il contraignait les entreprises à apporter des gages sur le traitement des données et en même temps, une fois qu’elles avaient apporté ces gages-là, une fois que les entreprises étaient agréées, les choses étaient plus faciles pour elles ; ça a quand même contribué à une pénétration du marché européen qui n’était pas négligeable pour un certain nombre d’entreprises notamment américaines. Mais il faudra aligner le niveau de garantie pour les citoyens européens. Je maintiens, et la France répète, qu’il faudra effectivement renégocier Safe Harbor.

Etes vous optimiste sur un accord avec le Parlement européen ?

Chacun doit remplir son rôle. Le Parlement a une sensibilité particulière sur les questions liées aux libertés et à la protection des citoyens. Moi j’attends qu’il joue ce rôle. La Commission est sensible particulièrement peut-être, compte tenu de ses missions, à la situation des entreprises mais la Commission a toujours répété aussi son souci de bien protéger les citoyens. Dans le trilogue, je pense qu’il y aura un équilibre qui permettra vraiment qu’on se ne contente pas de proclamer qu’on veuille protéger les citoyens, mais qu’on mette des dispositions qui protègent vraiment, et qu’en même temps on ne prenne pas des risques inutiles sur l’activité économique parce que nous avons besoin que le tissu économique en Europe se renforce.

Si vous parvenez à un accord avec le Parlement européen d’ici la fin de l’année, quand le règlement entrera-t-il en vigueur ?

Il s’agit d’un règlement, donc si nous avons un accord en fin d’année, il s’appliquera à tous les pays européens. C’est la directive qui nécessitera des transpositions, mais le règlement est d’application immédiate. Si nous arrivons à atteindre ce record - auquel on ne croyait plus bien que le Sommet numérique souhaitait un texte adopté à la fin 2015, l’application s’effectuera en 2016, dès le début d’année./.

Règlement général sur la protection des données - orientation générale

PDF - 1.2 Mo

(1.2 Mo)

Dernière modification : 24/02/2016

Haut de page