Actuellement en examen au Parlement européen, l’ACTA commence mal son périple devant les institutions européennes.

Dans un avis rendu public le 24 avril dernier, le Contrôleur européen de la protection des données (CEPD) estime que les mesures prévues par l’Accord pour lutter contre la violation des droits de propriété intellectuelle sont trop imprécises et peuvent avoir des conséquences « inacceptables » sur les droits fondamentaux des individus. Il dénonce des mesures qui impliquent une « surveillance à grande échelle » du comportement des utilisateurs et de leurs communications électroniques et sont donc « très intrusives dans la sphère privée des individus » (point 19 de l’avis). Bon nombre de ces mesures seraient donc contraires au droit communautaire. Enfin, l'ACTA ne contient pas de limitations et de garanties suffisantes, comme une protection juridictionnelle effective, une procédure régulière, le principe de présomption d'innocence et le droit à la protection de la vie privée et des données personnelles, estime l’avis. Ce n’est pas la première fois que le CEPD tire la sonnette d’alarme. En février 2010, il avait déjà publié un avis, de sa propre initiative, pour demander aux négociateurs de respecter la protection de la vie privée et des données personnelles. A l’époque, cet avis avait trouvé peu d’écho. Le contexte aujourd’hui est différent car l’ACTA est devenu un sujet public grâce, notamment, à l’action du collectif « Anonymous ».

Le deuxième coup de semonce a été tiré le 25 avril lorsque David Martin, eurodéputé chargé de la rédaction du rapport sur l’ACTA sur lequel devra voter le Parlement européen a recommandé devant la Commission du commerce international du Parlement de rejeter l’ACTA et de "peut-être" le renégocier. Selon lui, l’accord n’est pas assez clair pour protéger les droits des citoyens. D’où la recommandation de le rejeter (car le Parlement ne peut pas amender le texte, mais seulement l’approuver ou le rejeter). Mais comme les droits de propriété intellectuelle doivent être protégés, il faudra peut-être ouvrir de nouvelles négociations pour modifier l’accord.

L’ACTA pourrait bien s’enliser durablement dans les sables européens, puisque, outre le Parlement européen, la Cour de justice de l’Union européenne va aussi se prononcer sur sa compatibilité avec le droit communautaire, après avoir été saisie d’une demande d’avis par la Commission européenne. Ce qui, d’ailleurs pose le problème du calendrier : le Parlement européen peut-il voter sur l’ACTA alors que la Cour ne s’est pas prononcé sur sa « légalité » ?.Quoiqu’il en soit, le vote en session plénière du Parlement est prévu en juillet sans que la date soit définitivement fixée.

Domaguil

Le renforcement de la coopération policière et judiciaire entre les pays de l’Union européenne allié aux possibilités offertes par les nouvelles technologies est une menace potentielle pour les libertés individuelles. Le Contrôleur Européen de la Protection des Données le rappelle dans son nouvel avis (le troisième) du 27/04/2007 sur la proposition de décision cadre actuellement en cours d’examen au Conseil.

Cette proposition a précisément pour objectif d’encadrer la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (une donnée à caractère personnel est une information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres, et qui peut faire l’objet d’un traitement c’est à dire d’opérations telles que la collecte, l'enregistrement, l'organisation, la conservation, la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction…).

L'abolition des frontières intérieures s’accompagne d’un développement des échanges d'information des services répressifs nationaux, portant des données sensibles, avec le risque qu’une utilisation abusive en soit faite. Or, la proposition de décision cadre est loin, de l’avis du CEPD, de prévoir les garanties nécessaires pour éviter ce risque et les droits des citoyens pourraient bien être sacrifiés sur l’autel de l'efficacité dans la coopération policière et judiciaire.

préoccupations envers la tendance à aller vers le plus petit dénominateur commun ».

La raison de cette sévérité?

Selon le Contrôleur, de nombreux points du texte ne répondent pas aux exigences de la protection des données telles que définies par le Traité de l'Union européenne. Bien plus, certaines dispositions « sont même en dessous des standards fixés par la Convention 108 du Conseil de l'Europe (1981), qui a établi des principes de base de la protection des données en Europe ».

C’est pourquoi, le CEPD appelle le Conseil à revoir la proposition sur les points suivants :

• Celle-ci doit obliger les états (et non pas les « inviter ») à inclure dans le régime de protection les traitements de données "domestiques" c’est-à-dire internes,  afin que les citoyens ne  soient pas uniquement protégés de manière adéquate lors des échanges entre états membres.
• Les finalités pour lesquelles les données personnelles peuvent être traitées doivent être limitées, dans le respect des principes de base de la Convention 108 qui dispose que les données personnelles sont « enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités » (article 5.b), les seules dérogations permises devant être prévues par la loi et constituer « une mesure nécessaire dans une société démocratique » ayant pour objet, par exemple, la répression des infractions pénales (article 9). Selon la jurisprudence de la Cour européenne des droits de l’homme, ces dérogations ne sont de surcroît admises qui si elles sont proportionnées au but, précises et  prévisibles. Or, la rédaction de la proposition de décision cadre est trop large et imprécise pour permettre le respect de ces conditions, estime le CEPD.
• Le niveau de protection des données dans les échanges avec les pays tiers doit faire l’objet  d'une norme commune européenne.
• La qualité des données doit être assurée conformément aux dispositions de l’article de l’article 5 de la Convention 108 qui impose notamment qu’elles soient « obtenues et traitées loyalement et licitement ». Une distinction doit être faite entre  les données factuelles et les autres données n’ayant pas ce caractère ( opinions ou témoignages, par exemple), ce qui n’est pas le cas dans la proposition de décision cadre. De même, la proposition ne permet pas de distinguer les catégories de personnes concernées par les renseignements échangés (coupables, suspects, victimes, témoins, etc…) et n’offre pas de garanties spécifiques sur les données relatives à des personnes qui ne sont pas mises en cause.
• Les droits d’accès, de recours, etc…des citoyens doivent être améliorés.
• Les échanges de données avec des autorités non-répressives et des entités privées doivent être soumis à des conditions strictes et spécifiques.

Selon le CEPD, le parallèle doit être fait avec l’ouverture du marché intérieur qui s’est accompagné de la définition d’une législation protectrice des données personnelles  (la directive 95/46). De la même façon,  dit le CEPD, “l’espace commun  de liberté, de sécurité et de justice (ndlr : troisième pilier de l’Union européenne) dans lequel l’ information va circuler librement entre les autorités judiciaires … exige un haut niveau de protection des données personnelles dans tous les états membres ». Or, telle n’est pas l’orientation prise par les états.

Mais en l’espèce seuls ces derniers sont  compétents pour décider sur une question qui relève du troisième pilier de l’Union européenne, celui de la coopération intergouvernementale et non du pilier communautaire dans lequel le Parlement européen est colégislateur et peut amender voire refuser les textes votés par le Conseil. Voilà comment les libertés individuelles risquent fort de se trouver écornées par la grâce du Conseil et comment l’Union européenne peut se trouver conduite à assurer une protection des individus à double vitesse : étendue dans le cadre de la Communauté européenne et du marché intérieur, plus limitée dans celui du troisième pilier.

C’est pourquoi, ceux qui prônent l’Europe des nations fonctionnant sur une base intergouvernementale devraient préciser à ceux qui seraient tentés de les écouter qu’il s’agit là de la solution la moins démocratique qui soit.

Domaguil

Depuis les révélations sur les étranges pratiques de la société SWIFT, et l’audition organisée par le  Parlement européen le 4 octobre dernier, le silence semble s’être fait…sauf du côté du Parlement européen (devant lequel  la question devrait revenir cette semaine) et du Contrôleur européen de la protection des données (CEPD). Cet empêcheur d’espionner en rond  s’obstine à faire des remontrances au « pauvre » M.Trichet, qui en sa qualité de président de la Banque Centrale Européenne a déjà d’autres soucis, étant dans le collimateur des « présidentiables » français pour cause d’euro fort qui serait préjudiciable à la croissance.

Ses conclusions sont exposées dans un avis rendu public le 1^er févier, dans lequel le CEPD, après avoir rappelé la position de la BCE dans du système de paiement SWIFT (superviseur, utilisateur, et décideur), observe que lorsque la BCE a décidé de recourir aux services de SWIFT pour ses opérations de paiement, elle s'est placée dans une position de co-responsable de traitement. Donc, elle est co-responsable de la conformité à la législation sur la protection des données, qui inclut notamment le respect du principe de limitation de la finalité, l'information aux personnes concernées, et des garanties adéquates lorsque les données personnelles sont transférées dans des pays tiers. Voilà qui commence plutôt mal pour la BCE. Car comme le dit Peter Hustinx, CEPD: "Comme toute autre banque, la BCE ne peut se soustraire à certaines responsabilités dans l'affaire SWIFT qui a porté atteinte à la confiance et à la vie privée de millions de gens. L'accès secret, routinier et massif d'autorités de pays tiers à des données bancaires est inacceptable. La communauté financière devrait donc fournir des systèmes de paiement qui n'enfreignent pas la réglementation européenne en matière de protection des données ».

Cependant, malgré ce constat sévère, l’avis parvient à une conclusion modérée sur l’incrimination proprement dite de la BCE, au motif que celle-ci  n’avait pas les prérogatives qui lui auraient permis de contrôler SWIFT La BCE serait ainsi  « responsable mais pas coupable », selon une formule qui eut son heure de célébrité antan.

Beaucoup de bruit pour rien ? Non, car la violation de la législation communautaire relative à la protection des données personnelles par la société SWIFT  semble de jour en jour se confirmer. Telle est l’opinion du CEPD qui appelle à la fois à une clarification du  rôle de la BCE  au sein du système SWIFT et  des règles de confidentialité, ainsi qu’à la définition de procédures permettant de respecter la législation communautaire sur la protection des données personnelles.

Telle est également l’opinion du groupe de l’article 29 (organe consultatif européen indépendant sur la protection des données et de la vie privée créé par les articles 29 et 30 de la directive 95/46 et l'article 15 de la directive 2002/58 . Dans un avis du 22/11/2006), celui-ci conclut à la coresponsabilité de SWIFT et des banques qui utilisent ses services dans le respect des règles de traitement des données à caractère personnel, à l’existence d’une violation de ces règles et demande également une « clarification concernant la surveillance de SWIFT.

L’affaire devrait donc avoir deux prolongements: la révision des règles de fonctionnement de SWIFT pour les mettre en accord avec législation européenne et les actions en justice qui pourraient être intentées dans  différents pays. En ce qui concerne l’Union européenne, selon le CEPD, des plaintes ont été déposées auprès des autorités de la protection des données partout en Europe.