En 2012 la Commission Européenne avait publié une double proposition (adoptées en 2016, cf liens ci dessus) visant à réformer la Directive de 1995 (95/46/EC) sur la protection des données. La proposition est double car elle comprend un projet de Réglement et un projet de Directive. Le Réglement, aussi dénommé GDPR - General Data Protection Regulation, définit un cadre européen pour les droits et devoirs de chaque citoyen et les obligations des prestataires de services concernant la protection des données à caractère personnel; la Directive vise à améliorer la coopération judiciaire entre les états européens et la poursuite des effractions au réglement précité. Elle complète clairement le réglement.
Rappelons que la protection des données personnelles est un droit fondamental définit à l'article 8 de la charte des droits fondamentaux de l'UE ainsi que l’article 16, §1 du traité sur le fonctionnement de l'Union Européenne (TFUE).
On peut saluer l'extension du réglement aux prestataires établis hors de l'UE qui traitent des données de citoyens de l'UE. Certes, il sera possible d'interdire ou de contraindre des prestataires autrement peu regardants, mais on perçoit clairement la mise en place d'une grosse machine juridique lourde et lente qui aura bien du mal à dédommager les victimes qui décideront de faire respecter leurs droits. En effet, le texte final (en référence ci-dessus) contient 173 préambules, suivis de 99 articles, eux-mêmes édictant quelques 760 règles; une telle exhubérance indique clairement un problème entaché de nombreux compromis, ce qui ne va pas en faciliter la mise en application et peut significativement éroder la protection espérée.
Pourtant les principes sont simples: un prestataire ne peut pas stocker plus de données personnelles que ce que je consens explicitement à partager, et toutes les données doivent être en rapport direct et nécessaire avec la prestation de service qui m'est délivrée. J'ai le droit de consulter toutes mes données, et d'en demander la suppression. Cela ne fait évidemment pas l'affaire du grand capital qui est toujours plus avide à en savoir plus pour pouvoir diriger ses actions commerciales ou même politiques. Attendez-vous à voir votre consentement sollicité de toutes parts sous peine de n'avoir plus accès à rien... ou de payer pour ce qui était auparavant gratuit.
L'ironie, c'est que tout s'articule autour de la personne... que l'on est pas encore capable (aux termes des règlements actuels) d'identifier irrévocablement.
Néanmoins, c'est déjà un grand pas dans la bonne direction.