Publié le 15 déc. 2015 à 22:02

L’épilogue d’une longue bataille. L’Union européenne est finalement parvenue à s’entendre, mardi soir, au sujet d’un texte sur la protection des données impulsé par la Commission européenne en 2012 qui avait suscité, depuis lors, de vives discussions. Entre des entreprises inquiètes de voir s’ériger des barrières à leur activité et des représentants de la société civile soucieux de protection des citoyens, les discussions ont été âpres. Elles débouchent sur un accord qui tente d’apporter des gages aux uns et aux autres. Un accord très contraignant, puisqu’il s’agit d’un règlement, qui s’impose en tant que tel à tous les Etats membres.

Du côté des citoyens, l’idée était de remettre de la confiance dans la machine : d’après Bruxelles, 67% des Européens ont le sentiment de ne pas avoir de contrôle sur les données qu’ils communiquent en ligne. Leurs droits vont donc être renforcés. Le texte leur garantit un meilleur accès aux données les concernant. Il entérine le principe du « droit à l’oubli » par lequel une personne peut exiger que les informations obsolètes la concernant soient supprimées, de même qu’il rend possible la portabilité de ces données, c’est-à-dire le transfert de ces dernières d’une plate-forme vers une autre, sur simple demande.

Enfin, il oblige les entreprises à informer leurs clients si elles ont été victimes d’un piratage. Les négociations ont notamment porté sur le temps dont disposeront ces dernières pour communiquer cette information : initialement de 24 heures, ce temps aurait été triplé.

Lire aussi > Données personnelles : Facebook visé par la justice irlandaise

Soutien aux entreprises

Bruxelles a également présenté son projet comme un soutien aux entreprises dans la mesure où il s’agit de créer des règles homogènes. Il introduit par exemple de la clarté dans les procédures. Les sociétés auront désormais, pour ces sujets, un seul interlocuteur : l’autorité nationale en charge de la protection des données du pays où elles ont leur siège européen.

Pour autant, ce sont bien de nouvelles contraintes qui se profilent pour les entreprises. La plus médiatisée concerne les adolescents : jusqu’à quel âge faut-il considérer que l’accord de leurs parents est nécessaire avant de les laisser accéder à un service en ligne ? Initialement, Bruxelles proposait 13 ans, comme aux Etats-Unis. Mais les Etats-membres, et en particulier la France, ont demandé à repousser à 16 ans l’âge de la majorité numérique.

Dans la dernière ligne droite, les représentants des grandes sociétés de l’internet, Facebook, Google, Snapchat, ont tenté d’alerter sur ce qui constituerait, selon elles, un sérieux casse-tête pour leur activité. Finalement, les Etats membres gardent leur liberté sur ce point : ils peuvent déroger à la règle générale, qui fixe à 16 ans l’âge de la majorité en ligne.

Les entreprises s’inquiétaient également de la dureté des sanctions à leur encontre : le texte prévoit des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial des entreprises. Bruxelles a promis une approche mesurée, la sanction étant proportionnelle à l’ampleur du préjudice. Devant ce qui est considéré par certains comme un texte nuisible aux intérêts des entreprises, un autre garde-fou a été proposé, à l’initiative de l’Allemagne. Afin de pouvoir, malgré tout, tirer le meilleur du « big data », les sociétés pourront traiter librement des données dès lors que l’identité précise des personnes aura été effacée.