Skip to main content

Article Category

Actualités

Article available in the folowing languages:

Faut-il une norme européenne pour la protection des données?

Faut-il établir une norme européenne pour la protection des données pour aider les sociétés à se conformer aux exigences légales, ou faut-il laisser aux sociétés le soin de définir leurs propres normes? Cette question a été débattue lors de la réunion publique sur la protectio...

Faut-il établir une norme européenne pour la protection des données pour aider les sociétés à se conformer aux exigences légales, ou faut-il laisser aux sociétés le soin de définir leurs propres normes? Cette question a été débattue lors de la réunion publique sur la protection des données organisée par le Comité européen de normalisation (CEN), à la demande de la Direction Générale des entreprises de la Commission européenne. En Europe, le traitement des données personnelles doit se conformer à la directive européenne sur les données personnelles, qui exige l'exécution des prescriptions légales par une action autorégulatrice. La directive fournit seulement un cadre général, et une grande part de l'efficacité de la protection qu'elle accorde dépendra des mécanismes de mise en oeuvre employés. La directive européenne a été mise en place 1995. Depuis lors, le développement rapide d'Internet et du commerce électronique a conduit à de nouveaux défis alors que des quantités toujours plus importantes de données personnelles sont traitées. Les employeurs et les autres organisations détenant des informations personnelles sont confrontés à présent à un double défi: d'une part, celui de veiller à ce que leurs enregistrements de données et enregistrements de contrôle soient conformes aux réglementations légales et d'autre part, celui d'inspirer confiance aux consommateurs et de les convaincre que les informations qui leur sont communiquées ne seront pas utilisées à des fins non autorisées par eux. Le séminaire sur la protection de la vie privée intitulé "La normalisation: un instrument commercial pour la protection des données personnelles", a été organisé dans ce contexte, pour lancer le dialogue entre les différents organes intéressés par la protection des données personnelles, dans un souci d'établir une certaine forme de norme européenne pour assurer le respect du droit. "Ceci est le résultat d'une recherche fouillée et laborieuse visant à savoir si la normalisation a un rôle à jouer, et à soutenir la directive sur la protection des données," a déclaré George Hongler, secrétaire général du CEN. "Parvenir à un consensus est notre raison d'être. Les gens voient la normalisation comme une réglementation détournée, je n'estime pas du tout que ce soit le cas. La normalisation n'est pas obligatoire, c'est une activité volontaire. Au CEN, nous avons reconnu que le marché a besoin d'accords fondés sur un consensus." Il a été demandé aux participants, plus de 120 personnes, d'identifier les exigences du marché en ce qui concerne la protection des données et de déterminer le degré de confiance des acteurs sur le marché dans l'utilisation d'un mécanisme d'autorégulation comme la normalisation pour mettre en oeuvre une action commerciale dans le domaine de la protection de la vie privée. La nécessité d'intervenir rapidement a été soulignée. "Si nous n'intervenons pas à temps, il se peut que nous ne puissions rien faire du tout," a déclaré le président du séminaire, Nick Mansfield, également président de ICX, International Commerce Exchange (Echanges commerciaux internationaux). "Quelles que soient les mesures à prendre, elles devront être appliquées pour la fin de l'année." John Mogg, directeur général de la Direction Générale du marché intérieur de la Commission européenne, pense lui aussi qu'une solution est requise rapidement. "Le temps de la discussion est terminé. C'est le moment à présent de fournir ce qui peut convaincre l'industrie et les consommateurs." M. Mogg, qui a joué un rôle déterminant dans l'établissement de l'accord de coopération visant à créer une "sphère de sécurité" pour les transferts des données entre l'UE et les Etats-Unis, a déclaré qu'un accord de normalisation constituerait un bon équilibre entre l'approche législative européenne traditionnelle et le système d'autorégulation prôné aux Etats-Unis. "En Europe, nous avons été décrits comme une organisation où la réglementation est la seule voie possible mais cela n'est pas le cas. Cependant, la normalisation représente une approche intégrée entre la réglementation et l'autorégulation." La protection des données personnelles requiert non seulement une législation, mais également des lignes directrices claires et pratiques sur la manière de répondre aux exigences légales, a précisé Martin Grosskopf de l'Agence canadienne de normalisation, CSA International, qui a présenté l'expérience canadienne d'établissement d'un mécanisme normalisé de protection des données. Il a fallu quatre années pour parvenir à un consensus entre toutes les parties concernées par la protection des données personnelles au Canada, et notamment les consommateurs, les entreprises, les autorités de réglementation et les décideurs politiques. Selon M. Grosskopf, le consensus est nécessaire pour qu'une norme volontaire obtienne la large acceptation qu'elle requiert. Il a admis cependant qu'une période de quatre années est trop longue dans le monde du commerce électronique qui connaît une évolution rapide. "A l'ère d'Internet, nous ne pouvons nous permettre de mettre quatre ans pour agir, a-t-il déclaré, mais nous disposons des mécanismes pour développer un système reposant sur un faible niveau de consensus en six ou huit mois. Ce système serait revu constamment jusqu'à ce qu'un consensus mieux établi soit atteint." Présentant les conclusions des sessions de discussion, Evangelos Vardakas, directeur de la Direction Générale du marché intérieur au sein de la Commission européenne, a déclaré que la norme européenne laisserait une possibilité aux Etats membres de répondre à leurs propres exigences. "Il y aura de nombreuses possibilités d'insérer des dispositions nationales mais j'espère que ceci n'aboutira pas à des contradictions." La conformité avec les mesures de protection des données dans un Etat membre sera reconnue dans toute l'Union. "La situation idéale est de pouvoir effectuer des affaires dans toute l'Europe. Ceci est l'objectif final de la directive", a déclaré Christine Sotting-Micas de la DG Marché intérieur. Plusieurs délégués ont soulevé la question du prix de la mise en oeuvre d'une norme européenne. Le président du séminaire, Nick Mansfield, a déclaré que l'on ne pouvait éviter que le processus de mise en oeuvre ne coûte de l'argent. "Nous ne pouvons pas nous permettre de ne rien faire, a-t-il dit. Si la loi dit que vous devez faire quelque chose, il faut le faire alors, et cela demandera des ressources." "Oui, vous allez devoir ouvrir votre porte-monnaie, oui, vous allez devoir demander à vos responsables d'agir et oui, cela va vous coûter plus que cela ne coûte aujourd'hui." Certaines sociétés pourraient préférer mettre au point leurs propres systèmes de conformité, a admis M. Mansfield, mais les coûts pour les petites et moyennes entreprises seraient trop élevés. Pour elles, l'option abordable serait de s'adresser à un organisme de normalisation reconnu comme le CEN, pour recevoir une aide à la mise en place d'un modèle normalisé européen de protection des données. L'assurance de qualité qui accompagne la protection normalisée des données pourrait apporter de nouvelles opportunités d'affaires, a-t-il été dit à la conférence. L'idée d'établir une marque européenne, telle que le label de qualité employé avec succès au Royaume-Uni, a été discutée, mais une campagne d'information s'avérerait nécessaire pour gagner l'acceptation du public. Selon M. Mansfield, une marque de qualité générerait ses propres affaires. "Les marques mettent le public en confiance et rappellent les produits. Tous ceux qui proposent des produits portant une marque les vendent - il existe un marché bien connu ici." Selon les conclusions de la session sur deux jours tirées par M. Mansfield, même si le débat a été constructif, il reste encore beaucoup à faire pour gagner un consensus dans un domaine aussi complexe. "Toute personne qui vient ici avec l'espoir d'une solution clairement déterminée peut se sentir déçue, mais je pense que si vous êtes venu avec cette attente, c'est que peut-être vous n'aviez pas saisi complètement la complexité de la situation à laquelle nous sommes confrontés". Un compte rendu de la réunion sera publié dans six semaines. Il pourra alors être consulté par le public sur le site Web du CEN. CEN/ISSS (Information Society Standardisation System ou Système de normalisation de la société de l'information), un organisme créé par le CEN pour proposer des solutions à la question des normes, décidera alors s'il faut rassembler des experts pour établir une norme européenne sur la protection des données personnelles.

Articles connexes