Qualifiée « d’eldorado du XXIème siècle », la donnée personnelle est l’un des enjeux stratégiques majeurs des prochaines années. La prédominance des acteurs américains, notamment les GAFA (Google, Amazon, Facebook, Apple), est en la matière certaine. Pourtant, afin de garantir leur indépendance, les pouvoirs publics européens se mobilisent pour s’affirmer sur la question de la protection des données personnelles.
Le 13 mai 2014, un arrêt de la Cour de Justice de l’Union Européenne (CJUE) consacrait un « droit à l’oubli » pour l’ensemble des citoyens européens. Cette jurisprudence résulte d’une lutte d’influence opposant les grands acteurs américains du numérique aux pouvoirs publics européens prévoyant un projet de règlement sur les données personnelles. Suite à la fusion par Google de sa politique de confidentialité concernant une soixantaine de ses services un conflit juridique et politique s’est même ouvert entre la société et les autorités publiques européennes. Au cœur de cette controverse, la notion juridique de vie privée – principe inhérent et consacré par toute société démocratique – qui est l’objet de toutes les attentions pour en définir les contours et l’adapter à la révolution numérique contemporaine. Ainsi, l’ensemble des débats actuels autour de la notion de « droit à l’oubli » ou « droit à l’effacement » sont au centre d’enjeux économiques, politiques et sociétaux majeurs (I) entrainant une compétition entre plusieurs acteurs pour en définir les contours. D’une part, les pouvoirs publics compétents cherchent à protéger les droits fondamentaux et les intérêts stratégiques européens en se coordonnant (II) tandis que d’autre part Google s’oppose à toute modification substantielle de la législation qui viendrait fragiliser, voir menacer son modèle économique en menant des opérations d’influence (III).
I. Une notion à la frontière d’enjeux économiques et politiques
Le traitement des données personnelles au cœur du modèle économique
L’ensemble des grands acteurs du numérique américain – Google, Facebook, Amazon, Linkedin, Microsoft etc. – ont développé un modèle économique centré sur l’agrégation et la commercialisation des données fournies par les utilisateurs de leurs services. Avec un marché de la publicité en ligne estimé à 32 milliards d’euros en Europe pour 2014, ces « majors » du numérique sont très sensibles à toute évolution de la législation concernant les données personnelles. Du fait de sa position dominante en Europe – 90% des parts de marché des moteurs de recherche et 50% sur les systèmes d’exploitation de mobiles – Google est particulièrement concerné par toute réforme du régime juridique encadrant la collecte et l’utilisation de ces données. Or avec un chiffre d’affaire de plus de 41 milliards d’euros en 2013, dont un bénéfice net de 9,5 milliards d’euros, les enjeux économiques liés à cette réforme sont colossaux et expliquent l’implication de la société dans la défense d’un régime juridique compatible à ses intérêts.
Un sujet mis à l’agenda politique et juridique européen
Constatant la part croissante des technologies du numérique sur la vie de ses citoyens les pouvoirs publics nationaux réagissent pour assurer l’effectivité de leurs droits. Au centre de cette préoccupation se trouve la question de la protection des données visant à assurer l’effectivité d’une liberté fondamentale : le droit à la vie privée. Bien que le concept de vie privée varie énormément suivant les pays, l’actuel projet de règlementation européen sur les données personnelles entend répondre à cette préoccupation. Elle vise ainsi à mieux encadrer les conditions d’utilisation des données fournies par les internautes en se dotant d’un arsenal juridique permettant une application effective du droit tout en permettant sa sanction en cas de méconnaissance. Cette réaction politique et juridique vise à assurer la protection des droits des citoyens européens et à éviter que l’Europe ne devienne « une colonie numérique des Etats-Unis ».
II. La mise en œuvre d’une action publique concertée européenne
Une coordination payante
Fondé par l’article 29 de la directive 95/46/CE relative à la protection des données, le groupe du G29 réunit les autorités administratives européennes indépendantes chargées de la protection des données nationales. Ce groupe de travail est aujourd’hui un acteur central dans la lutte actuelle autour de la problématique de la protection des données. Elle dispose d’une compétence pour délivrer des avis consultatifs sur tous les sujets touchant au traitement des données. En matière de gouvernance, le G29 est piloté par un président et deux vice-présidents. Initialement le président se voyait remplacé tous les deux ans par un des deux vice-présidents. Cependant cette règle a été transformée. Fruit de cette volonté de coordonner les efforts des différentes autorités indépendantes de protection des données nationales, la tête du G29 a été confiée à Isabelle Falque-Pierrotin, présidente de la Commission Nationale Informatique et Libertés (CNIL) française. A l’issue de sa nomination cette dernière déclarait qu’elle devrait faire face à deux défis « préparer la transition vers la nouvelle gouvernance prévue dans le projet de règlement de l’Union européenne sur la protection des données et développer la coopération entre autorités de protection des données sur le plan international». Cette élection, moins d’un mois après sa réélection à la tête de la CNIL illustre la volonté de coordination d’autant plus que la CNIL a été chargée en janvier 2013 de piloter le groupe de travail réunissant les six « CNIL » menant des poursuites contre Google pour sa politique de traitement des données. La jurisprudence de la CJUE du 13 mai 2014 et ses premières applications par le juge national (TGI de Paris le 16 septembre 2014), en sont le résultat tangible.
Une démarche à concrétiser
Repoussé à échéance 2015, l’achèvement du projet de règlement sur les données personnelles est encore incertain. Ce projet prévoit des mesures contestées par le géant américain : instauration d’amendes dissuasives – de 2% à 5% du chiffre d’affaire – pour les entreprises qui ne respecteraient pas le cadre légal protégeant la vie privée, renforcement des obligations de transparence concernant les conditions d’utilisation des données, limitation du profilage, et enfin la création d’un droit à l’effacement. Autant de restrictions dont Google ne veut pas entendre parler. A cet égard, la société n’hésitera pas à s’appuyer sur certains Etats – Irlande et Pays-Bas – dont les intérêts convergent.
III. Le mantien d’une politique d’influence par Google
Le lobbying, pratique au cœur de ses opérations d’influence
Présentée régulièrement comme œuvrant pour un avenir meilleur en rendant les bénéfices des avancées technologiques accessibles à tous, notamment grâce à son slogan « Don’t be evil », la société sait cependant protéger ses intérêts mercantiles. Ainsi, Google est une des sociétés dépensant le plus en lobbying – plus de 13 millions de dollars pour les seuls Etats-Unis en 2014 – pour s’assurer que l’activité normative corresponde à sa vision d’internet. Il est d’ailleurs intéressant de noter que ses dépenses en la matière pour l’Europe ont connu une progression remarquable entre 2007 (700 000 dollars) et 2012 (1,25 millions de dollars), année du lancement du projet de règlement sur les données personnelles. Google est aujourd’hui l’un des dix premiers groupes mondiaux en termes de dépenses de lobbying.
Au-delà de cette activité traditionnelle de lobbying, l’entreprise a également lancé une opération d’influence nommée « Comité consultatif de Google sur le droit à l’oubli » visant à discuter sur « l’équilibre à trouver entre le droit des personnes à l’oubli et le droit à l’information du public». Cette dernière se traduit par la tenue de conférence au sein des différentes capitales européennes entre septembre et novembre afin de « recueillir les commentaires des citoyens européens ». A la suite de ces évènements, les contributions sont censées être présentées sous forme de conclusions objectives.
La liberté d’expression, prétexte à la protection de ses intérêts
Les personnalités siégeant au sein de cette commission – journalistes, juristes, défenseurs de la liberté d’expression – permettent d’identifier assez rapidement l’objectif de cette démarche : montrer que l’actuel projet de règlement menace la liberté d’expression. La présence d’un des PDG de Google et du directeur juridique de la société achève de convaincre sur l’impartialité de la démarche. Néanmoins, la finalité de celle-ci a bien été identifiée par les autorités administratives indépendantes de protection des données personnelles qui refusent consciencieusement d’assister à ces consultations publiques. Après tout, les représentants de Google affirment clairement leurs ambitions concernant ce projet de réglementation sur les données personnelles : « We want to strike this balance right ». La question du débat n’est donc pas à l’ordre du jour.
Les tensions autour de cette problématique sont révélatrices des enjeux qui gravitent autour des données personnelles. Le parlement européen a même voté le 27 septembre 2014 une résolution visant à démanteler Google pour abus de position dominante. Si cette mesure n’est pas susceptible d’aboutir car c’est à la Commission Européenne de lancer la procédure, elle illustre l’irruption de cette problématique dans la conscience des décideurs publics. La récente déclaration commune du 8 décembre 2014 des autorités européennes de protection des données du G29 consacrant la protection des données personnelles comme un «droit fondamental» montre que les européens entendent faire cause commune pour protéger leurs intérêts stratégiques.
Hugo Lambert