Une signature cette année, lors de la présidence luxembourgeoise du Conseil de l’Union européenne. Le souhait a été formulé la semaine dernière, lors de la conférence organisée par la Commission Nationale pour la Protection des Données, en collaboration avec l’APDL et Security made in Lëtzebuerg sur les défis à venir du projet de règlement européen en matière de protection des données.
L’objectif est louable. Mais pourra-t-il être tenu ? La nouvelle législation européenne sur la protection des données personnelles est littéralement bloquée. Le Parlement européen et les États membres se renvoient la patate chaude.
Le paquet législatif, proposé en janvier 2012, comprend une directive et un règlement. Il a été adopté en première lecture au Parlement européen en mars 2014 -avant les élections européennes. Il inclut des mesures de protection des données personnelles des citoyens et limite l’utilisation de ces données par les services de renseignement et les entreprises.
Le cadre de la réforme a ensuite été étendu suite au scandale dévoilant PRIMS, le programme de cyber-espionnage américain. Toute entreprise envoyant des données personnelles en dehors de l’Union européenne sans permission serait désormais passible d’amendes élevées.
Mais des dissensions importantes demeurent. Ainsi, les États membres s’opposent à la proposition de la Commission et du Parlement, qui voudraient mettre en place des outils de traitement des données afin d’obtenir le consentement préalable et explicite des utilisateurs. Les États estiment que ces mesures sont trop rigoureuses.
En outre, en cas de non-respect des règles, les États membres souhaitent une sanction maximale allant jusqu’à 2% du chiffre d’affaires mondial de la société, alors que les députés proposent d’aller jusqu’à… 5% !
Les États membres de l’Union restent également sceptiques quant à l’approche du «guichet unique» proposé par la Commission, qui, en cas de violation, permettra aux citoyens de déposer une plainte auprès des autorités locales de protection des données dans n’importe lequel des 28 États membres.
Trois Etats membres butent: l’Allemagne, la France et le Royaume-Uni L’Allemagne craint notamment que la loi ne sape la souveraineté des grandes régions du pays, ou Lӓnder, par rapport au gouvernement fédéral. Dans le même temps, la France et l’Allemagne ne voient pas d’un bon œil que ces décisions puissent être prises au niveau national dans des pays membres ayant une tradition de la protection des données moins ancrée. Au Royaume Uni, l’idée d’un règlement sur la protection des données est contestée, car une directive laisserait une marge de manoeuvre dans sa transposition.
Bref, trois ans après la première proposition de loi, bon nombre de dispositions font toujours l’objet d’intenses débats: celles relatives aux données du secteur public, le droit d’accès aux données par les organismes chargés de l’application de la loi et la possibilité pour les entreprises internationales de traiter directement avec le régulateur sur leur marché d’origine.
A en croire les acteurs technologiques, le retard pris pour parvenir à un accord ne reflète pas uniquement les intérêts divergents des 28 États membres, mais aussi l’évolution rapide des technologies, des nouveaux consommateurs connectés et du big data…
Devancez la législation, nourrissez la confiance !
L’attente d’une nouvelle législation européenne sur la protection des données pourrait coûter cher à la compétitivité et à l’image de marque des entreprises. C’est l’avis d’Iron Mountain pour qui, «l’absence d’accord au niveau européen conduit les entreprises à différer toute action au profit de celles qui appliquent des règles strictes de sécurité et de confidentialité déjà en place.»
Le risque est réel: faire perdre aux entreprises une part substantielle de leur avantage concurrentiel. Aussi, pour Iron Mountain, il s’agit d’agir… indépendamment de ce que préconisent les propositions réglementaires.
«N’attendez pas de voir ce que la version finale contiendra réellement. L’éthique veut que les organisations protègent les données fermement et efficacement et qu’elles les utilisent et les conservent de manière responsable et transparente. Autant cela renforce la confiance des clients, autant les violations de données les rendent méfiants. L’équation est simple: la confiance nourrit la fidélité et la fidélité nourrit les ventes !»