Protection des données personnelles sur les médias sociaux: comment l'union européenne peut-elle réguler les pratiques ?

B) La définition de nouveaux objectifs

1. "Renforcer les droits des personnes"

Afin d'assurer une protection plus effective des données à caractère personnel en tenant compte des récentes évolutions technologiques et comportementales, la Commission européenne a décidé en 2010³⁸ de réformer la législation en la matière. Ainsi, le 25 janvier 2012, le Parlement et le Conseil Européen proposaient une telle réforme³⁹, destinée à moderniser le cadre européen de la protection des données, devenu obsolète du fait des évolutions technologiques et de l'émergence de nouveaux usages.

Ces propositions consacrent trois objectifs : renforcer les droits des personnes, établir une dimension mondiale de protection des données tout en développant le marché intérieur par leur libre circulation, et renforcer le cadre institutionnel en vue d'un plus grand respect des règles de protection des données.

La législation actuelle on l'a vu, consacre la protection des données personnelles des citoyens européens comme droit fondamental. Afin de préserver efficacement ce droit, la Commission européenne souhaite aujourd'hui développer un cadre juridique qui ne soit plus

36 Charte des droits fondamentaux de l'Union européenne (2007/C 303/01), Titre VII "dispositions générales régissant l'interprétation et l'application de la charte", Article 51 "champ d'application", §1

37 Audition sur la mise en oeuvre de la Charte des droits fondamentaux de l'Union européenne

Session III: Un projet pour les citoyens en faveur des droits fondamentaux

38 Communication de la Commission Européenne au Parlement Européen, au Conseil, au Comité Economique et Social Européen, et au Comité des Régions, «Une approche globale de la protection des données à caractère personnel dans l'Union européenne», 4 novembre 2010

39 Proposition de règlement du Parlement Européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), Bruxelles, le 25 Janvier 2012, COM(2012) 11 final

18

général, mais prenne en compte l'essor des nouvelles technologies et services, et notamment les réseaux sociaux. La Commission insiste tout particulièrement sur la nécessité d'accroitre la transparence. Les usagers devront ainsi être informés "correctement et clairement, en toute transparence"⁴⁰ de l'utilisation et du traitement faits de leurs données, selon quelles modalités, pour quel motif et pendant combien de temps. Cela, selon la Commission, ne peut passer que par l'élaboration d'un modèle européen de "déclarations de confidentialité" à l'intention des responsables du traitement. Les utilisateurs devront également être clairement informés de toute violation de leurs données. Cela est clairement établi par les articles 31 et 32 de la proposition de règlement de Janvier 2012⁴¹.

En outre, il s'agit de permettre aux utilisateurs d'exercer un meilleur contrôle sur les données les concernant. En effet, la Charte des droits fondamentaux précise en son article 8, paragraphe 2, que "toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification". Cela est confirmé par l'approche globale, qui précise "l'exemple des sites de socialisation est particulièrement éclairant à cet égard, car pour y exercer un contrôle effectif sur les données les concernant, les intéressés se heurtent à des défis de taille. La Commission a ainsi reçu plusieurs plaintes de personnes qui n'avaient pu récupérer des données à caractère personnel auprès de prestataires de services en ligne, telles que leurs photos, et qui ont donc été empêchées d'exercer leur droit d'accès, de rectification et de suppression. Par conséquent, il convient d'expliciter, voire de renforcer ces droits". Dès lors, la Commission se fixe comme objectif d'améliorer les modalités du droit d'accès, de rectification, de suppression et de verrouillage des données, et, avancée particulièrement importante, de clarifier le "droit à l'oubli", en vertu duquel les personnes peuvent obtenir l'arrêt du traitement des données les concernant et l'effacement de celles-ci lorsqu'elles ne sont plus nécessaires à des fins légitimes⁴². Ce droit est officiellement consacré à l'article 17 du projet règlement de janvier 2012, intitulé "droit à l'oubli et à l'effacement" : "La personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données". Enfin, la Commission n'oublie pas l'importance de la sensibilisation du grand public aux risques liés au traitement des données. La possibilité d'une utilisation du budget de l'Union à cet effet est notamment évoquée : "la Commission étudiera la possibilité de cofinancer des actions de

40 «Une approche globale de la protection des données à caractère personnel dans l'Union européenne», p.6

41 Article 31, " Notification à l'autorité de contrôle d'une violation de données à caractère personnel", et 32, " Notification à l'utilisateur d'une violation de données à caractère personnel"

42 «Une approche globale de la protection des données à caractère personnel dans l'Union européenne», p.9

19

sensibilisation à la protection des données, à l'aide du budget de l'Union"⁴³. Cependant, celle-ci n'est plus évoquée dans la proposition 2012 (11) final, et le rôle de sensibilisation revient aux autorités de contrôle ("Chaque autorité de contrôle sensibilise le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel"⁴⁴), ce qui est déjà actuellement le cas avec la CNIL. L'aspect sensibilisation auparavant évoqué comme "indispensable" dans l'approche globale semble donc ici négligé.