L’amendement vole bas en ce moment à Bruxelles et il vaut mieux baisser la tête si l’on veut éviter de se prendre en pleine tête le gouvernement américain, ses relais européens et les géants de l’Internet «made in America».

Tout ce beau monde a déclenché un tir de barrage d’une rare violence pour flinguer le projet de législation européenne sur la protection des données personnelles déposé en janvier 2012. «On a même vu le chef de la mission américaine à Bruxelles, William Kennard, intervenir pendant les consultations interservices au sein de la Commission, ce qui ne s’était jamais vu !» s’offusque-t-on dans l’entourage de Viviane Reding, la commissaire chargée de la Justice à l’origine du projet : «De même, nous avons reçu beaucoup d’appels de grandes entreprises américaines qui craignent d’être soumis à une législation européenne qui serait en contradiction avec les lois américaines.» Manifestement, les «grandes oreilles» américaines ont fonctionné…

Résultat de ce «lobbying intensif», selon l’expression de la députée européenne libérale et grande défenseuse du droit à la vie privée, la Néerlandaise Sophie In’t Velt : des Etats, tels la Grande-Bretagne ou l’Irlande, hésitent, à leur habitude, à déplaire à l’Oncle Sam, comme l’a montré le nouvel échec, hier, après celui de juin, du conseil des ministres de la Justice. De leur côté, beaucoup d’eurodéputés se sont laissés persuader de revoir à la baisse le niveau de protection demandé par la Commission.

Capacité ou non. «En tout, 4 000 amendements ont été déposés sur le projet de règlement "relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel" et 700 sur le projet de directive sur l’échange des données entre autorités étatiques européennes ou non», raconte Sophie In’t Velt. Qui tempère : «Le lobbying n’est pas un problème. Ce qui en est un, c’est notre capacité ou non à résister aux pressions américaines.» Néanmoins, Reding compte faire aboutir son texte d’ici la fin de l’année.

Les poursuites lancées par la Cnil contre Google (lire ci-contre) montrent que le droit européen a besoin d’un bon coup de chiffon à poussière : la seule législation existante est une directive de 1995, c’est-à-dire datant de l’ère pré-Internet… Pis, le texte faisait à peine 30 pages, ce qui a laissé une large latitude aux Etats de l’Union pour le transcrire dans leur droit interne : «Chacun a plus ou moins comblé les trous, ce qui fait qu’il y a aujourd’hui 28 lois différentes», explique-t-on chez Viviane Reding. Résultat : une grande complexité sur laquelle jouent les entreprises, notamment non européennes, pour faire ce qu’elles veulent et une protection très faible des citoyens contre les abus dans l’utilisation de leurs données (y compris le transfert sans contrôle ni recours judiciaire possible vers les serveurs des autorités américaines).

La Commission veut donc unifier cette mosaïque en renforçant le cadre européen. «Même s’il reste des problèmes, il s’agit d’un très grand progrès par rapport à ce qui existait», se félicite Sophie In’t Velt. Ainsi, les entreprises devront obtenir le consentement explicite des internautes pour utiliser leurs données et ces derniers disposeront d’un droit d’accès, de rectification ou d’un «droit à l’oubli». Mieux : les citoyens pourront porter plainte devant leur autorité nationale de protection des données, même si le siège de l’entreprise est situé dans un autre pays qui la transmettra à l’autorité compétente.

Et les amendes vont devenir sérieuses : 2% du chiffre d’affaires mondial contre 150 000 euros en France.

«Bullet». Quant à la transmission des données vers les Etats-Unis ou un autre pays tiers, elle ne pourra se faire que si les lois locales sont équivalentes à la législation européenne : «Ce n’est pas une "silver bullet" contre Prism, c’est vrai, notamment lorsque le serveur se trouve aux Etats-Unis, reconnaît-on chez Reding. En revanche, si les données sont collectées en Europe, elles relèveront de notre compétence. Les entreprises ne pourront plus se cacher derrière la loi américaine qui leur impose le secret.» «Tout cela est bien beau, mais il s’agit de volonté politique», estime Sophie In’t Velt : «Dans 100% des cas, les entreprises y compris européennes préfèrent respecter les lois américaines. Et on l’accepte ! Est-ce que la nouvelle législation va permettre de trancher ce conflit de légitimité en notre faveur ? Je n’en suis pas sûre.»