Protection des données : déclarations diverses

futur Règlement global pour la protection des données (RGPD). Il doit remplacer la directive de 1995 sur la protection des données personnelles (directive 95/46/CE) et modifier partiellement la directive dite « e-privacy ».

"Ce projet insuffle des notions majeures comme «le droit à l'oubli numérique» et instaure une responsabilité «des prestataires techniques»."

Microsoft, November 2012
Data protection- Transatlantic developments

MEDEF, Juin 2012
Observations du MEDEF (Position du MEDEF)

Le rapport d'étude européen sur la réforme de la protection des données personnelles (for IMCO), 09/2012

 * Le rapport d'étude européen sur la réforme de la protection des données personnelles (en anglais), en allemand

This document was requested by the European Parliament's Committee on Internal Market and Consumer Protection.

European Data Protection Supervisor, EDPS
L'EDPS a t-il été consulté ? Probablement

EUROIspa
FAI, Google, etc.

"Digital Europe"
Microsoft, Apple, RIM, etc.

UFC Que choisir (FR)
"Compte tenu des préoccupations aussi fortes que légitimes des consommateurs s’agissant de leur vie privée et de la discussion européenne d’un règlement consacré au sujet, l’UFC-Que Choisir entend faire de la protection des données personnelles un chantier prioritaire, en lien bien évidemment avec la CNIL, très active sur le sujet."

les autorités américaines
"Les entreprises ne sont pas les seules à prendre ce dossier au sérieux, les autorités américaines sont l'un des premiers défenseurs de ces Goliath numériques.

John Rodgers, expert économique pour le ministère des affaires étrangères (USA)
Dans une enquête publiée fin janvier, Ars Technica révélait que John Rodgers, expert économique pour le ministère des affaires étrangères, a prévenu que le pays pourrait engager une "guerre commerciale" si un renforcement de la protection des données personnelles venait à être voté en l'état."

Chambre américaine du commerce
Les représentants de la Chambre américaine du commerce et de sa branche européenne :

"Fin janvier, lors de l'un des dix débats sur les données personnelles tenus à Stockholm, étaient présents des représentants de la Chambre américaine du commerce et de sa branche européenne, accompagnés de représentants de l'industrie. Tous ont exprimé l'inquiétude que cette loi provoque pour le modèle économique de ces entreprises. Celles-ci estiment ainsi régulièrement que cette nouvelle régulation ne serait pas en phase avec la réalité de leurs activités et irait à l'encontre d'un "marché numérique européen unifié"."

Centre américain pour la démocratie et la technologie (USA)
"Certains groupes d'intérêt brouillent également les frontières. A la manière du Centre américain pour la démocratie et la technologie, qui met en avant des universitaires "pour un Internet ouvert" en étant directement financé (PDF) par de nombreuses sociétés américaines du numérique, dont Amazon, Google et Facebook."

Apple (USA)
"Si la nouvelle législation inquiète au point de pousser Apple à embaucher un ancien responsable de la Commission irlandaise de protection de la vie privée, les géants américains ont déjà fort à faire avec les règles en vigueur. Quand Facebook est surveillé de près par cette commission irlandaise, la Commission nationale de l'informatique et des libertés (CNIL) française a donné du fil à retordre à Google, fin 2012, avec une enquête sur sa nouvelle politique de confidentialité. Cela sans oublier les condamnations précédentes de ces entreprises dans différents pays européens."

lobbyiste américaine
(en) Position lobbyiste américaine (2013-01-14) (PDF) via l’EDRi

la presse américaine
Citation du New York Times dans l'article "Vie privée : quand l'Europe devance les Etats-Unis"

Google, Facebook, Yahoo
"lobbyisme intense de groupes comme Google, Facebook ou Yahoo"

"Coalition industrielle pour la protection des données" ("Industry Coalition of Data Protection").
L’EDRi pointe d’ailleurs du doigt une organisation redondante de ces campagnes de pression. Non seulement les géants américains portent leur message en leur nom, mais ils le font porter aussi par des associations et groupes de lobbys qui défendent leurs intérêts, ce qui est classique. Mais ils ont également créé une troisième couche de pression, en l’occurrence, en regroupant leurs associations au sein d’une nouvelle association… Cette dernière porte – beau paradoxe – le nom de Coalition industrielle pour la protection des données (Industry Coalition of Data Protection).

Liste des membres de la Coalition industrielle pour la protection des données (PDF) via l’EDRi (où l'on retrouve Microsoft, Intel, Apple, eBay, Oracle, Verizon, Google, Nokia, Yahoo, Intel, ...)

" Aux Etats-Unis, la vie privée est un business commercial. En Europe, la protection des données est un droit fondamental. Nous considérons que ce qui est bon ou mauvais n'a pas à être décidé dans la Silicon Valley, mais dans nos capitales ", résume Jacob Kohnstann, président de la Coalition industrielle pour la protection des données

les opérateurs
"Le lobbying est féroce. OTT et opérateurs (réunis au sein d’associations comme le GSMA (Association des opérateurs GSM), Etno (les opérateurs historiques) ou Ecta (les nouveaux opérateurs entrants), entre autres, hantent les couloirs de Bruxelles pour injecter les amendements ad hoc."

ETNO, opérateurs historiques européens
"La cadre réglementaire destiné à protéger nos données est également l'occasion pour une part de l'industrie européenne d'essayer de marquer des points contre des fleurons nord américains qui font littéralement leur fortune sur leur dos. Ainsi, l’ETNO, l’association des opérateurs de télécommunication européens ce sert de ce combat pour ouvrir un nouveau front dans la guerre qui oppose acteurs historiques et acteurs dits Over The Top. Si l’ETNO juge que « les règles de protection des données atteignent le juste équilibre entre protection des données et innovations », il y a surtout derrière tout cela une question économique. Cette nouvelle réglementation européenne, l’ETNO le reconnaît d’ailleurs est « un pas décisif vers l’établissement d’un véritable pied d’égalité, permettant à tous les acteurs en Europe d’être en concurrence à égalité ». On rejoint ici un autre débat, celui de la crise que connaissent les opérateurs de télécommunications européens avec le changement de paradigme du tout voix au tout donnée.

Derrière ce soutien, c’est donc un affrontement entre acteurs Over The Top (Facebook, Google, Amazon, eBay, etc.), qui profitent des tuyaux sans les payer, et créateurs/gérants des tuyaux, qui cherchent un nouveau souffle."

Communiqué de presse de l’ETNO (11 février 2013)

G29
G29, qui rassemble l'ensemble des autorités européennes

les eurodéputés
"Le Financial Times indiquait récemment que les parlementaires s'agaçaient du lobbyisme intense dont ils font actuellement l'objet pour assouplir la réglementation" (...).

Anna Maria Corazza Bildt MEP, EPP, member of the LIBE Committee, 31 January 2013
Moderator of "Panel III: Enforcement must be proportionate – will it?" in the Conference "What's wrong with data protection?", European Parliament

Jan Albrecht (MEP)
A publié une longue liste des entreprises rencontrées par lui et son bureau, parmi lesquelles la Commission irlandaise de protection de la vie privée, Privacy International ou, face à eux, Amazon, Facebook, Oracle ou Symantec.

Neelie Kroes, commissaire européenne chargée de la société numérique

 * 11/02/2013 : http://www.generation-nt.com/europe-lobbying-usa-gestion-donnees-personnelles-viviane-reding-actualite-1692672.html

Viviane Reding

 * 25/01/2012 : Viviane Reding, présente le projet de règlement sur la protection des données personnelles.

Dans les colonnes du Telegraph, (..) Viviane Reding a estimé qu’il s’agissait (...) selon elle du lobbying le plus intense jamais rencontré.

commission IMCO
Pour la Quadrature du Net, « les membres de la commission IMCO ont choisi de diluer la protection de la vie privée des citoyens en facilitant, entre autres, un profilage des utilisateurs par les entreprises ou en allégeant les obligations de notification de fuites de données personnelles ».

Irlande
"Les groupes de l'Internet pourront élire résidence dans l'un des pays de l'Union européenne de leur choix, où est situé «leur siège principal pour le traitement des données personnelles». Ainsi, en cas de litige, ce sera la Commission nationale de l'informatique et des libertés du pays retenu qui devrait rendre son jugement pour toute l'Union européenne. Nombre d'observateurs estiment que les Apple, Google, Facebook et autre Microsoft pourraient alors retenir l'Irlande, où elles consolident leurs résultats européens. Au Royaume-Uni et en Irlande, les CNIL nationales y sont plus clémentes envers les groupes de l'Internet que celles des pays du sud de l'Europe et que celle d'Allemagne."

Association française des services Internet communautaires (Asic)
Ce [nouveau] cadre «va régir les données personnelles en Europe pour les 25 ou 30 prochaines années», précise Benoît Tabaka, responsable des relations institutionnelles de Google France et secrétaire général de l'Association française des services Internet communautaires.

Analyse complète du futur texte par l'Asic. Dans celle-ci, l'Asic émet 3 propositions.

Les membres de l'Asic : AOL, blogSpirit, Dailymotion, Deezer, eBay, Ebuzzing (Wikio, OverBlog, ...), Exalead, Facebook, LaCartoonerie, Microsoft, PriceMinister, Skype, Skyrock, Spotify, Vivastreet, Yahoo, Yakaz, Uplood.

CNIL (French Data Protection Authority)

 * 26/01/2012 projet de règlement européen : la défense de la vie privée s'éloigne du citoyen
 * 21/10/2012 : les autorités nationales de la protection de la vie privée ne voient pas toutes d'un bon œil le fait de recentrer les pouvoirs de sanction sur le pays où se trouve le siège européen d'une entreprise : " Cela risque d'aboutir, par exemple, au fait que ce soit l'autorité de la vie privée britannique ou irlandaise qui soit la référence unique, alors que ce sont des autorités moins puissantes que les autorités françaises, allemandes ou espagnoles... Nous nous en sommes émus auprès de la commissaire en charge du dossier, et nous proposons un autre critère, qui est celui du ciblage : si une entreprise de Palo Alto offre ses services dans l'ensemble de l'Europe, c'est la loi européenne qui s'appliquerait ; si elle vise le marché allemand, la loi allemande. Et chacune des CNIL européennes serait compétente pour les services qui ciblent son marché. En l'état, le projet de révision est catastrophique en termes de message envoyé aux Européens : il donne l'impression que le citoyen européen est moins bien traité que le consommateur européen. Ce qu'il faut en réalité, c'est renforcer les collaborations entre les différentes autorités, pour créer un régulateur européen en réseau, et non un régulateur centralisé."
 * 10/12/2012 : Le guichet unique va dans «le bon sens, celui de la simplification» pour les groupes internationaux, indique Edouard Geffray, secrétaire général de la CNIL. Cependant, le dispositif tel qu'il est avancé pourrait conduire «à des guerres entre les Cnil d'Europe». Car si une entreprise décide d'élire domicile en Lettonie et que la Cnil de ce pays prend une décision défavorable envers un citoyen français, la Cnil française devra se retourner contre son homologue de Lettonie pour régler le différend et peut être même la poursuivre. De plus, «une autorité de contrôle d'un pays de 2 millions d'habitants n'a pas les mêmes moyens que celle d'un pays de 60 millions», ajoute le responsable de la Cnil. Ainsi, la solution préconisée est de créer un dispositif collégial, de «codécision», pour que les Cnil concernées par un différend puissent choisir entre elles une «autorité leader», ajoute le responsable français.
 * 16/01/2013 satisfaction de la CNIL sur le pré-rapport concernant le projet de règlement de la Commission Européenne <+-- A commenter

"Mi-janvier, la CNIL saluait pour sa part le projet de rapport de M. Albrecht, qui est rapporteur à la Commission LIBE. Dans sa version du texte, il propose par exemple que l’autorité de contrôle compétente soit celle du lieu de résidence du citoyen, ce qui assure une proximité entre la victime et le « gendarme » des données personnelles. Et évite par la même occasion les faits de forum-shopping (installation des entreprises gérant des données personnelles dans les pays où la protection est la moins forte). Il milite aussi pour un point de contact unique lorsqu’un même traitement est géré par des entités éparpillées sur plusieurs pays. L’eurodéputé veut aussi accroître le rôle et les pouvoirs du Comité européen de la protection des données, « notamment en lui conférant un pouvoir décisionnel sur les projets de décisions d'une autorité de contrôle ». Pour la CNIL, ce sont là les conditions d'une uniformisation de l'application des dispositions européennes. La même autorité indépendante saluait également « la suppression, dans le projet de rapport, de la possibilité de recourir à des instruments juridiques non contraignants pour encadrer les transferts de données vers des pays hors Union. »"

Le mécanisme proposé de « guichet unique » en Europe inquiète la CNIL

Avocat(s) du cabinet Baker & McKenzie
Le «guichet unique est unanimement bien accueilli par les entreprises», assure Denise Lebeau-Marianna, avocate du cabinet Baker & McKenzie.

Les entreprises proposant des audits données personnelles

 * http://6ix-it.com/tag/9546ce/

Acteurs annexes
http://www.les-infostrateges.com/actu/12021379/cil-gardiens-de-la-vie-privee-en-europe-en-entreprise-et-dans-les-collectivites

CEDPO, (Confederation of European Data protection Associations)
"CEDPO a été créée en septembre 2011 par des associations européennes de protection des données personnelles, à savoir, l’AFCDP (Association française des correspondants à la protection des données à caractère personnel) en France, l’APEP (Asociación Profesional Española de Privacidad) en Espagne, la GDD (Gesellschaft für Datenschutz und Datensicherheit) en Allemagne, et la NGFG (Nederlands Genootschaap van Functionarissenvoor de Gegevensbescherming) dans les Pays Bas.

CEDPO a pour objet de promouvoir le rôle du délégué à la protection des données personnelles, de fournir des conseils pour une protection des données personnelles prenant en compte les intérêts en présence, pragmatique et effective et de contribuer à une meilleure harmonisation de la réglementation et des pratiques en matière de protection des données personnelles au sein de l’UE/EEA."

AFCDP
"L’AFCDP, Association française des correspondants à la protection des données, a été créée en 2004 à la suite de la réforme de la loi du 6 janvier 1978 sur la protection des données à caractère personnel, qui a donné naissance à la fonction de DPO (« Correspondant à la protection des données à caractère personnel » également appelé CIL, « Correspondant Informatique & Libertés »). L’AFCDP est un lieu d’échange qui accueille toute personne intéressée par la protection des données à caractère personnel : CIL, chargés de la protection des données, avocats, responsables ressources humaines, DSI, RSSI, directeurs qualité et directeurs conformité, professionnels du e-commerce et du marketing … Plus de 1 000 personnes ont déjà rejoint cette association à but non lucratif. L’AFCDP encourage la discussion et les échanges d’informations en matière de protection des données personnelles en vue de faciliter la communication entre ses membres et de promouvoir les meilleures pratiques. L’AFCDP entretient un dialogue avec la CNIL et d’autres autorités concernées au niveau français et européen par la protection des données personnelles."

ministres de l'intérieur et de la justice de l'Union
"Les réformes seront difficiles à faire accepter en l'état aux ministres de l'intérieur et de la justice de l'Union, hostiles à toute entrave à la coopération policière et aux obstacles mis aux enquêtes, a estimé une source anonyme citée par l'AFP."