Les CNIL européennes réunies sous le groupe de l'article 29 (G29) ont adopté une Déclaration solennelle sur la protection des données personnelles dans l'Union européenne, qui vise aussi bien le respect des droits par les Etats que par les entreprises privées.

A l'occasion du European Data Governance Forum qui se tient ce lundi à Paris à l'UNESCO, les CNIL européennes regroupées sous la bannière du G29 ont publié une Déclaration solennelle adoptée le 25 novembre 2014, qui fait écho aux travaux actuels des Nations Unies. Rédigé à la manière d'une déclaration de droits fondamentaux, le texte vise à répondre à la crise de confiance provoquée par les révélations d'Edward Snowden, en affirmant les principes qui doivent être respectés par les Etats et par les entreprises privées en matière de collective massive de données personnelles.

Dès son premier point, la Déclaration rappelle que "la protection des données à caractère personnel est un droit fondamental", avec une référence à la Charte des droits fondamentaux de l'Union Européenne (.pdf), en particulier son article 8. Néanmoins, signe de l'équilibre que tente d'aménager le G29, le second point reconnaît aussitôt que ce droit doit être "combiné avec les autres droits fondamentaux", en particulier avec "l'impératif de sécurité" auquel doivent veiller les Etats.

Mais dans cet objectif d'équilibre, "la surveillance secrète, massive et indiscriminée de personnes en Europe, que ce soit pas des acteurs publics ou privés, qu'ils agissent au sein des Etats membres de l'Union ou ailleurs, n'est pas conforme aux Traités et législation européens", stipule la Déclaration. "L'accès à des données à caractère personnel aux fins de sécurité n'est pas acceptable dans une société démocratique dès lors qu'il est massif et sans condition".

Un texte européen qui se veut de portée universelle

A l'égard des sociétés privées comme Google ou Facebook qui ne brillent pas par un grand respect des autorités de régulation nationales, la Déclaration rappelle que "le fait qu'un traitement de données soit techniquement faisable, qu'il puisse parfois révéler des informations utiles au renseignement ou permettre le développement de nouveaux services n'implique pas qu'il soit de ce fait acceptable sur les plans social et éthique, ni qu'il soit raisonnable ou conforme à la loi". De même, le texte prévient que "aucune des dispositions figurant dans les instruments européens visant à encadrer les transferts internationaux de données entre parties privées ne peut servir de base légale à des transferts de données vers les autorités de pays tiers pour des finalités de surveillance massive et indiscriminée". Il s'agit d'une réponse aux accusations de naïveté dont la CNIL a été sujette à propos du Safe Harbor et des BCR (Règles d'Entreprises Contraignantes), qui permettent d'autoriser le transfert de données personnelles vers l'étranger.

Enfin, on peut noter que le texte, sans aller jusqu'à l'imposer — il n'a de toute façon aucune application directe en droit, exprime une forte préférence au stockage physique des données sur le territoire européen, en expliquant que les entreprises "doivent organiser le stockage de ces données (personnelles) de manière à permettre le contrôle par une autorité européenne indépendante".

De façon un peu présomptueuse, la Déclaration affirme que les règles énoncées "doivent être considérées comme des principes internationaux impératifs en droit international public et privé", et donc qu'aucune loi d'aucun Etat au monde ne doit y déroger. "Des lois étrangères ou des accords internationaux ne peuvent leur passer outre et les organisations ne peuvent y déroger par contrat".

Partager sur les réseaux sociaux

Articles liés