En session plénière, le Parlement européen vient d’adopter des textes importants en termes d’exploitation des données à l’ère numérique.
Après quatre ans de travaux, un nouveau règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données apparaît.
Abrogeant de facto la directive 95/46/CE (règlement général sur la protection des données) qui servait de référence et qui datait de 1995.
20 ans déjà alors que l’essor de l’Internet a tout bouleversé en Europe : accès haut débit généralisé (fixe et mobile), médias sociaux, services transactionnels (banques, e-commerce) et bine sûr les médias sociaux comme Facebook.
Selon le Parlement européen, les nouvelles règles européennes « donneront aux citoyens davantage de contrôle sur leurs informations privées ». La réforme fixe également des « normes minimales » sur l’utilisation des données à des fins policières et judiciaires, précise le communiqué.
Le nouveau texte (résumé également sous le signe GDRP pour General Data Protection Regulation) aborde des sujets majeurs : le droit à l’oubli, le consentement clair et explicite pour l’usage des données personnelles, les transfert de data, le droit d’information en cas de piratage des données, la clarté des clauses portant sur la vie privée (« dans un langage clair et compréhensible ») et la possibilité d’infliger aux sociétés qui enfreignent le cadre règlementaire des amendes allant jusqu’à 4% de leur chiffre d’affaires monde.
Il est prévu que le règlement entrera en vigueur 20 jours après sa publication au Journal officiel de l’UE. Les pays de l’UE auront deux ans pour transposer les dispositions de la directive dans leur législation nationale.
Y compris la France sachant que la loi sur le numérique d’Axelle Lemaire, qui va être examinée par le Sénat, traite justement de certaines questions évoquées dans ce nouveau règlement européen.
Simultanément, la directive sur l’utilisation des données des dossiers passagers (Passenger Name Record, EU-PNR) a également été adoptée par le Parlement européen.
Là aussi, l’examen de ce dossier a traîné mais il s’est accéléré en raison de la menace terroriste qui demeure prégnante en Europe. Sur ce dossier, le gouvernement français a mis la pression sur les instances européennes après les attentats survenus sur le sol national entre janvier et novembre 2015.
Le PNR européen, qui encadre le transfert des données passagers en avion, est perçu comme « un outil important dans la lutte contre le terrorisme et la criminalité grave », selon le communiqué.
Plus précisément, il contraindra les compagnies aériennes à fournir aux autorités nationales les données des passagers pour tous les vols à partir d’un pays tiers vers l’UE et inversement.
La directive encadre également l’utilisation faite par la suite de ces données collectées.
A charge pour les États membres de créer des « unités de renseignements sur les passagers » pour gérer les données PNR collectées par les transporteurs aériens.
Ces informations seront conservées pendant une période de cinq ans. Mais après un délai de six mois, les données seront « masquées », c’est-à-dire que « des éléments qui peuvent mener à l’identification de la personne » (nom, adresse et coordonnées…).
Précisons que la directive s’appliquera aux « vols extra-UE », mais les États membres pourront étendre cette application aux « vols intra-UE » (c’est-à-dire d’un État membre à l’autre).
Le dispositif PNR pourrait être étendu au niveau des agences de voyage et des tour-opérateurs. Mais au niveau des voyages transfrontaliers par train. Après validation du Conseil européen et publication au Journal officiel de l’UE, les États membres disposeront d’un délai de deux ans pour la transposer en droit national.
« Ces votes sont des étapes cruciales pour les Européens, leur sécurité et la protection de leur vie privée », estime Martin Shulz, Président du Parlement ». Les députés européens « ont su se rassembler au-delà des clivages politiques et avec de très larges majorités pour les mener à bien ».
Il reste encore des débats importants autour de la gestion des données personnelles, comme celui portant sur le Privacy Shield.
Ce nouvel accord est censé remplacer le dispositif Safe Harbor après son invalidation survenue fin 2015. Il a vocation à régir le transfert de données entre les États-Unis et l’Europe.
En l’état actuel, le G29, le groupe des autorités européennes de protection de données (dont la CNIL) qui émet des avis consultatifs, n’es pas approuvé la mouture actuelle.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…