Du rififi autour du groupe européen d'experts sur la protection de la vie privée.

La Commission européenne a créé un groupe d'experts chargé de réfléchir sur le cadre juridique de la protection des données dans l'Union européenne. Enjeu : poser les refondations du système pour l'adapter notamment aux nouveaux enjeux technologiques. Ce groupe est-il noyauté par les États-Unis ? La France le craint.

 

Les missions du GEX PD

Le groupe d'experts chargé de réfléchir au cadre légal de la protection des données dans l'Union européenne a été baptisé du joli nom de « GEX PDa» (Group of EXperts for Personal Data). 

Après appel à candidatures, la Commission a désigné 5 experts qui ont tenu leur première réunion le en décembre 2008. 

La mission du GEX PD se présente comme suit : 

1. Le groupe d'experts chargé de réfléchir sur le cadre légal de la Protection des Données dans l'Union européenne accomplira ses activités conformément aux règles stipulées aux alinéas 2 à 7 ci-dessous. 

2. Les membres du groupe d'experts sur la Protection des Données (GEX PD) sont nommés à titre individuel par la Commission européenne pour une période d'un an renouvelable. Ils conseilleront la Commission indépendamment de toute instruction extérieure et respecteront les conditions de confidentialité mentionnées dans la décision de la Commission instituant le groupe d'experts. Les membres du groupe d'experts ne seront pas rémunérés.

3. Le groupe d'experts sur la Protection des Données contribuera au travail de la Commission en identifiant les défis de la protection des données personnelles dans l'Union européenne, au regard du développement des nouvelles technologies, de la globalisation et des questions de sécurité publique en prenant en compte le nouveau cadre institutionnel tel que prévu dans le traité de Lisbonne et en formulant des propositions pour répondre à ces nouveaux défis.

4. Les membres du GEX PD soumettront à la Commission une liste de problèmes soulevés. En fonction du domaine de spécialisation de chacun des membres, le groupe pourra décider de diviser le travail en sujets à traiter séparément. Néanmoins, la contribution finale prendra la forme d'un rapport destiné à consolider les vues de chacun des membres du GEX PD et à présenter les conclusions de leurs discussions.

5. Les réunions du GEX PD organisées par la Commission se tiendront dans les locaux de celle-ci à Bruxelles. D'ici à la fin de l'année 2008, le groupe ne se réunira pas plus de trois fois pendant une journée maximum. En coopération avec la Commission, le groupe rédigera un rapport après chaque réunion. 

6. Bien que la Commission reconnaisse l'égalité de valeur de toutes les langues communautaires officielles, pour des raisons pratiques d'organisation, la langue de travail du groupe sera l'anglais. Les participants aux réunions peuvent toutefois s'entendre en vue d'ajouter d'autres langues de la Communauté pour les communications écrites et orales, sans que la Commission n'offre d'infrastructures ou de services d'interprétation ou de traduction.

7. La Commission adressera les invitations, élaborera l'ordre du jour et présidera les réunions. En fonction du sujet et de la progression du travail, les participants aux réunions du GEX PD pourront compter parmi eux toute tierce personne que la Commission a décidé d'associer aux activités du groupe d'experts sur la Protection des Données. La Commission se réserve le droit de remplacer tout poste devenu vacant. 

On le voit, la mission de ce groupe d'experts est à la fois large et délicate puisqu'il devra faire des propositions à la Commission européenne sur la révision de la directive de 1995, mais aussi sur la question de la protection des données dans les matières régaliennes relevant du troisième pilier. Par exemple, toute la problématique de la protection de la vie privée face aux risques terroristes passera dans ce cadre. 

 

Le problème qui se pose 

Plusieurs personnes ont cru étouffer en voyant la composition du groupe. Parmi les personnes furieuses, on trouve Alex Türk qui n'est rien moins que le président de la CNIL, assumant en outre pour l'instant les fonctions de président du Groupe 29 regroupant l'équivalent de la CNIL dans tous les pays européens. 

Pour M. Türk, « la composition de ce groupe d'experts suscite de très lourdes interrogations. Il est en effet composé de cinq personnes qui, pour quatre d'entre elles, sont issues soit de sociétés américaines, soit de cabinets d'avocats dont les principaux établissements sont également situés aux États-Unis. Un seul membre de ce groupe est originaire d'Europe, il s'agit du président de l'Autorité néerlandaise chargée de la protection des données qui, en tant que vice-président, représente le groupe dit « de l'article 29 » (regroupant les vingt-sept autorités de l'Union européenne chargées de la protection des données) que je préside ». 

Et M. Türk de poursuivre lors de son audition devant le Sénat français : « Ayant manifesté ma surprise à la Commission européenne devant la composition de ce groupe, il m'a été répondu que le concept de nationalité était dépassé et qu'il était surtout important de trouver des experts compétents. (...) Je tiens à souligner que ma position est partagée par l'ensemble des autres autorités des États membres, à l'exception du Royaume-Uni. J'ai en outre appris que, d'ores et déjà, l'agenda de ce groupe d'experts avait suscité un débat en son sein entre, d'une part, le représentant du groupe de l'article 29 et, d'autre part, les experts américains qui s'étaient concertés au préalable ».

Bref, le GEX PD est-il noyauté par les États-Unis ? 

Si tel devait être le cas, il est vrai que la situation serait pour le moins cocasse. Comme le soulignait Alex Türk, le 25 novembre 2008, devant la commission des affaires européennes de l'Assemblée nationale, les États-Unis n'ont « ni autorité indépendante de contrôle ni loi fondamentale, qui sont les deux critères fondamentaux retenus par la Commission européenne et par le groupe de l'article 29. Les Européens doivent constater que l'écart est grand entre la vision américaine et la vision européenne : juridiquement parlant, les États-Unis sont dans la même situation que les autres pays qui ne remplissent pas ces deux critères. La difficulté tient à ce que nous n'arrivons pas à inventer un concept juridique qui permettrait d'harmoniser les systèmes européen et américain, pour favoriser le développement du commerce international. C'est pourtant un point décisif ». 

Le Sénat envisage donc une résolution visant à demander au Gouvernement : 

bullet

de solliciter des explications de la Commission européenne sur les conditions dans lesquelles ce groupe d'experts a été nommé et d'agir auprès d'elle afin que les propositions qui seront prises en considération pour toute évolution du cadre juridique de la protection des données dans l'Union européenne  soient élaborées dans des conditions qui préservent l'indépendance d'analyse de l'Union européenne dans l'évaluation de ses propres règles juridiques et respectent le principe du multilinguisme ; 

bullet

de s'opposer à toute proposition de la Commission européenne qui ne serait pas élaborée à partir d'une réflexion conduite sur ces bases.

 

Étienne Wery
Avocat aux barreaux de Bruxelles et Paris (cabinet (ulys)
etienne.wery(chez)ulys.net