L’Europe s’apprête à porter un grand coup législatif afin de mieux protéger les données personnelles. Le projet de nouvelle législation sera dévoilé demain à Bruxelles par la Luxembourgeoise Viviane Reding, commissaire européenne à la Justice, à la Citoyenneté et aux Droits fondamentaux.

Si le nouveau cadre est adopté, il sera par exemple interdit à un employeur d’utiliser une photo privée repiquée sur un site personnel pour poser des questions lors d’une entrevue d’embauche. Le «suicide numérique» sera aussi légalisé: un usager pourra ainsi exiger d’un réseau social qu’il détruise toutes les données personnelles le concernant.

La Commission prépare sa réforme depuis plus de deux ans. La portée des nouvelles règles rejoint toutes les entreprises qui offrent des biens et services en ligne aux consommateurs, même si leurs serveurs sont basés en dehors de l’Union européenne.

Les propositions sur la table clarifient le rôle des fournisseurs de service, affirment l’obligation de transparence des collecteurs de données et reconnaissent le «droit à l’oubli» pour les internautes. Les géants américains comme Google, Apple ou Facebook seraient les premiers affectés par les changements.

Selon Mme Reding, le cadre européen actuel n'est plus adapté aux nouveaux usages d’Internet. «Il faut remplacer le patchwork de lois actuel par une loi qui s'appliquera à tous les États membres, à toutes les entreprises qui offrent leurs biens et services aux consommateurs même si leurs serveurs sont basés en dehors de l'Union européenne», a-t-elle déclaré. «La politique européenne a pour but d'équilibrer le respect des droits», a-t-elle ajouté en spécifiant qu’il ne s’agissait donc pas de remettre en cause la liberté d'information.

Le rééquilibre en faveur du citoyen pourra obliger les grands joueurs à diffuser des avertissements clairs sur la collecte et l’usage des données personnelles. Le texte va aussi instaurer la possibilité pour un internaute de faire disparaître des informations le concernant, ne serait-ce qu’une page personnelle sur un réseau social. Il y aura également obligation d’informer les personnes concernées dans les 24 heures pour tout vol ou piratage de données.

Amendes

Des amendes sont prévues pour les contrevenants. Les premières versions du projet de loi envisageaient qu’elles pourraient atteindre 1 % du chiffre d’affaires mondiales des compagnies fautives. Les dernières versions fixeraient plutôt le plafond à un million d’euros, selon une source citée par l’AFP.

Cette volonté de sanction devrait provoquer une réaction sévère de mégacompagnies. Google a par exemple expliqué qu’elle fractionne les données des personnes pour les stocker au moins en six lieux différents et qu’il lui sera difficile de ce conformer à l’obligation de transparence.

Ancienne journaliste, Mme Reding a prévu des exceptions pour la presse, mais aussi pour la police et la justice. Ces dispositions concernent par exemple les images captées par les caméras de surveillance.

La dernière réforme de fond européenne en la matière date de 1995, d’un autre siècle quoi. Il existe aussi une mosaïque de législations nationales. À terme, idéalement d’ici trois ans, la modernisation de la directive sera appliquée aux 27 États membres.

Cette mutation légale s’active alors qu’approche la Journée de la protection des données, fixée le 28 janvier. Le Data Privacy Day est reconnu au Canada, aux États-Unis et ailleurs dans le monde par les professionnels de la vie privée, des entreprises , des fonctionnaires et le milieu de l’éducation. Elle cherche à mettre en lumière l’impact des nouvelles technologies sur la vie privée des citoyens.