in

Données personnelles : la nouvelle réglementation européenne en souffrance

Alors que les transactions électroniques ne cessent de monter en puissance, le théâtre opérationnel européen retient son souffle, en attendant une réglementation sur les données personnelles à la hauteur des enjeux. Depuis quatre ans. Les discussions en la matière, après proposition de la Commission européenne, devraient se conclure par un compromis tant attendu, sous la forme d’une nouvelle réglementation  sur les données. Explications.

Cloud-GirafeJamais réalité ne suscite autant de polémiques et d’intérêts. La protection des données personnelles est au centre de tous les débats. Garante de cette mine d’or en France, la Cnil est plus que jamais sur le pont à l’heure où la transformation digitale pousse les acteurs à traiter et engranger des volumétries d’informations exploitables à des fins opérationnelles. Comme nous l’expliquait Isabelle Renard, avocate, spécialiste en cyber-sécurité lors de l’un de nos récentes interviews, « les entreprises sont prises entre la volonté de respecter les réglementations européennes et la pression opérationnelle. La tentation est souvent forte de céder à la deuxième. » Cela est d’autant plus vrai que le centre de gravité du commerce se déplace vers le e-commerce, terrain différenciant pour les acteurs.

yoga dogUn existant réglementaire caduc

Face à cette réalité, une palette de réglementations qui n’est plus à la hauteur des enjeux. La Cnil a beau intervenir, il lui faut, à l’instar de ses homologues européens, des outils  adaptés. Idem pour ses semblables dans d’autres pays.  Ce d’autant que les abus se multiplient dans tous les secteurs d’activités. Un exemple,  dans la banque comme dans l’assurance, les comparateurs prolifèrent et certains se comportent mal par rapport aux données personnelles. Avant même de formuler sa requête, l’internaute est sommé de décliner son identité électronique. Des données qui coûtent cher et leur rapportent gros sur le marché des transactions digitales. Certaines plates-formes de comparaison d’offres seraient ainsi devenues de véritables pourvoyeuses de données personnelles, tout comme d’autres grands acteurs de gestion du courrier, paraît-il.
Annoncée il y a quatre ans, la nouvelle réglementation qui doit organiser la gestion de cet or digital à l’origine d’une ruée sans précédent, s’est enlisée dans les méandres de la machinerie européenne. Comment expliquer un tel attentisme ? Car faut-il le rappeler, devenue une véritable arlésienne, cette nouvelle norme est encore en chantier, même si les pouvoirs réglementaires européens promettent son entrée en vigueur d’ici à la fin de l’année 2015 voire au début de l’année prochaine.

Quid de sa vocation ? Remplacer les dispositions de la directive 95/46/CE. Celle-ci constitue encore le texte de référence, à l’échelle européenne, en matière de protection des données à caractère personnel. Le cadre réglementaire qui l’institue vise à « établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l’Union européenne. Pour ce faire, la directive fixe des limites strictes à la collecte et à l’utilisation des données à caractère personnel, et demande la création, dans chaque État membre, d’un organisme national indépendant chargé de la supervision de toutes les activités liées au traitement des données à caractère personnel. » Comment expliquer les difficultés de mise en place d’une telle norme ? Plusieurs arguments à cela.

coccinella matitaSur la forme, il ne faut pas évacuer d’un revers de la main le calendrier européen des réformes qui n’a cessé de multiplier les réglementations ces dernières années. De Solvabilité 2 à Bâle III en passant par la Directive d’intermédiation en assurance (Insurance Mediation Directive – IMD) pour ne parler que du secteur de la banque/assurance, le trop plein réglementaire pèse sur les équipes. Pour autant, d’autres raisons sont à chercher sur le plan politique, notamment. Maxime Deleris, expert en la matière chez Solucom, apporte son point de vue dans le blog de cet intégrateur : « la volonté de l’Europe d’uniformiser les pratiques pour l’ensemble de ses membres suscite de nombreux désaccords entre les vingt-huit, et ralentit ainsi le processus d’adoption… » Et d’ajouter : «  par ailleurs, cette réglementation souhaite concilier la protection des consommateurs et la compétitivité des entreprises. Un sujet complexe, nécessitant de nombreuses réflexions et groupes de travail afin d’aboutir à un accord. Surtout, ce projet de règlement subit le lobbying d’acteurs variés et puissants, aussi bien de la part des géants de l’internet que des opérateurs télécoms et des institutions financières, ralentissant et complexifiant le processus de décision. Les acteurs de l’assurance ont notamment tenté de peser dans les négociations : le traitement de grandes quantités de données étant au cœur de leur activité, ils devraient être fortement impactés par la réforme mise en place. En effet, à l’heure de l’avènement du Big data, les assureurs voient dans cette protection accrue du consommateur européen un frein aux potentialités offertes par cette technologie. Une voix qui s’est d’ailleurs fait entendre depuis les Etats-Unis. »
Les arguments mis en avant semblent fondés car observés dans le cadre de la préparation d’autres réglementations. Ce fut le cas pour l’avancement de Solvabilité 2, programme pour lequel les assureurs ont déployé tout leur savoir-faire en matière de pression et de noyautage. Idem pour l’adoption d’un régime particulier sur les branches longues, par exemple (assurance de personnes). Amorcé au courant des années 90, Solvabilité 2 ne prendra effet que dans trois mois, au 1er janvier 2016. Quid de la directive sur l’intermédiation en assurance ? Les courtiers sont montés au créneau pour faire entendre leurs voix. En fait, l’adoption d’une réglementation semble devenir un véritable chemin du combattant au sein des instances européennes qui doivent jouer l’art du compromis.
Si le politique pèse de plus en plus lourd sur la mise en place de nouvelles réglementations et surtout celle sur les données personnelles qui constituent le pilier de la nouvelle économie digitale, les procédures sont également mises à l’index. Selon l’expert de Solucom, « c’est le fonctionnement même des institutions européennes qui pose la plus grande difficulté. La Procédure Législative Ordinaire  est la principale responsable de la lenteur du projet. » A savoir, il s’agit d’un continuum adossé à un triptyque : « la première lecture, durant laquelle  le Parlement puis le Conseil approuvent, amendent ou rejettent la proposition législative ; la seconde lecture commence si le Conseil amende la proposition du Parlement. Cette étape est semblable à la première, à l’exception du fait que les parties disposent désormais d’un délai pour voter le texte (3 mois + 1 mois si nécessaire). Si le consensus n’est pas atteint, le texte rentre alors dans la dernière phase, la phase de conciliation.  Au cours de cette dernière étape, les trois parties disposent d’un délai de 6 à 8 semaines pour mettre en place un groupe de négociation, appelé trilogue, qui disposera à son tour de 6 à 8 semaines pour parvenir à un accord. »

African elephant (Loxodonta africana) balancing on a blue ball.L’eiDas en guise d’apéritif

Face à cette escalade, force est de constater que la première étape du règlement en matière de données personnelles aura duré pour ce projet de règlement, 3 ans et demi, ce qui n’exclut pas des désaccords entre Parlement et Conseil. Et rien ne dit que la suite sera conduite dans le respect du calendrier qui, de fait, est devenu glissant. Cela est d’autant plus dangereux qu’à ce sujet de données personnelles se greffe celui plus général de la cyber-sécurité. Qui plaide pourtant pour davantage de réactivité.
Quoi qu’il en soit, ce dispositif finira par voir le jour, comme c’est le cas pour Solvabilité 2 désormais sur les rails et bien d’autres réglementations. En attendant, de nouveaux dispositifs font avancer la protection des données personnelles.

C’est le cas de l’eiDAS. Depuis juillet 2014, le Vieux continent s’est doté d’un règlement permettant d’établir une fédération des identités sur son territoire. Un chantier de longue haleine et de longue date s’inscrivant dans la mise en place d’un espace numérique commun et sécurisé. Selon l’extrait du règlement UE n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014, elle a vocation à « instaurer un climat de confiance dans l’environnement en ligne est essentiel au développement économique et social. En effet, si les consommateurs, les entreprises et les autorités publiques n’ont pas confiance, notamment en raison d’un sentiment d’insécurité juridique, ils hésiteront à effectuer des transactions par voie électronique et à adopter de nouveaux services. »  Cet outil vise à la mise en place de services communs d’identification nationaux pour toutes les parties qui souhaiteraient l’utiliser. La solution peut être mise à contribution dans le cadre de services transfrontaliers, au sein des banques, de la santé, etc. Du fait de son caractère réglementaire, elle s’impose, à l’instar de la future loi sur la protection des données personnelles, à tous les pays membres, sans retranscription. Ainsi qu’à tous les fournisseurs de services de confiance (certificats, chiffrement, signature).

Grâce à ces outils intermédiaires, les activités peuvent continuer sur le terrain, en attendant la mise ne production de la réglementation cible. Pour autant, les entreprises ont tout intérêt à mettre déjà en place un dispositif de contrôle du respect de la protection des données personnelles. A cette fin, ils doivent s’appuyer sur un Correspondant informatique & Liberté (CIL). Si les grandes structures  en disposent d’un en interne, d’autres ont la possibilité d’y recourir à temps partiel. L’offre ne la matière s’étoffe de plus en plus en plus. Ce qui permet aux uns et autres de ne plus fermer les yeux sur un point critique, celui du respect des données personnelles dont l’abus devrait coûter extrêmement cher dans le cadre de la future loi. Mais il s’agit-là, d’un débat dans le débat, qui mérite d’être traité à part.

Emmanuel MayegaEmmanuel Mayega, journaliste indépendant, pour DOCaufutur

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.