Soutenons La Quadrature du Net !

Le Conseil de l'UE vend-il nos données personnelles aux entreprises ?

Paris, 24 juin 2015 — En cours depuis de nombreux mois, une nouvelle étape des négociations en trilogue1 sur le futur règlement européen concernant la protection des données personnelles démarrera aujourd'hui. Comme le montre le document publié le 8 juin dernier, le Conseil de l'Union européenne tentera de balayer la plupart des dispositions protectrices pour les citoyens du texte final. Bien qu'elle soit encore trop faible, il est fondamental que les représentants des citoyens dans ces négociations n'infléchissent pas la position adoptée par le Parlement le 12 mars 2014.

Dans le cadre des négociations du futur règlement européen sur la protection des données personnelles, le Conseil de l'Union européenne a proposé un texte beaucoup trop libéral et très peu protecteur des droits des citoyens européens vis-à-vis des entreprises et des pays tiers. À travers ce texte, le Conseil de l'UE, souhaite permettre aux entreprises de collecter et traiter les données sans recueil préalable du consentement des personnes concernées, ou bien pour des finalités autres que celles pour lequel le consentement initial a été donné, dès lors que l'entreprise peut justifier d'un « intérêt légitime ». Ce terme, beaucoup trop vague pour permettre une protection effective et efficace des données personnelles, introduirait une grosse faille dans le système européen.

Le Conseil cherche aussi à élargir considérablement le droit à l'effacement des données à caractère personnel. Ce droit ne doit être étendu que dans la mesure où il ne fait pas obstacle à la liberté d'expression, à charge pour les États membres de concilier le droit à l'effacement des données et le droit à la liberté d'expression. Or, le Conseil réduit le droit à la liberté d'expression aux journalistes et aux activités académiques, artistique ou littéraires.

Enfin, aucune disposition n'est prévue pour l'anonymisation des données. Seule une pseudonymisation est envisagée, ce qui est tout à fait insuffisant pour conserver l'anonymat d'une personne. Le pseudonymat dans le cadre du traitement des données personnelles n'est donc pas du tout protecteur et n'est qu'un simple cadeau de plus fait aux entreprises, qui pourront en toute impunité travailler sur des données dont elles pourront assez facilement retrouver l'origine. Ce cadeau est renforcé par la volonté d'autoriser le profilage des personnes avec leur autorisation explicite. Une telle autorisation est nécessaire mais insuffisante en l'absence d'un cadre très strict sur les finalités du profilage. L'absence de règlement du problème posé par le Safe Harbor malgré l'adoption du rapport Moraes de 2014 rend d'autant plus béantes ces failles dans la protection des données personnelles.

« Le Conseil essaie une fois de plus de passer outre les droits des citoyens, au profit de grosses entreprises qui font un marché juteux des données personnelles. Il est inadmissible de laisser les États brader le droit à la vie privée des citoyens européens, et fondamental que le Parlement européen et la Commission européenne restent fermes et ne laissent pas les libertés des citoyens se réduire comme une peau de chagrin, alors qu'elles sont déjà fortement menacées par les différentes lois adoptées en France et ailleurs, notamment sur le renforcement des services de renseignement » s'indigne Philippe Aigrain, cofondateur de La Quadrature du Net.

La synthèse de La Quadrature du Net sur le texte adopté par le Parlement, le 12 mars 2014

  • 1. Négociations à huis-clos menées par des délégations du Parlement européen, de la Commission européen et du Conseil de l'Union européenne