Protection des données : ça se précise pour la réforme européenne
Le paquet européen sur la protection des données personnelles devrait être adopté début 2016, après 4 ans de négociations. Il reste cependant des points de friction.
On se dirige vers une adoption début 2016 pour le paquet européen relatif aux données personnelles.
Un accord de principe a été trouvé ce mardi 15 décembre, soit six mois tout juste après l’ouverture des négociations entre la Commission européenne, le Parlement et le Conseil des ministres.
Ledit paquet comprend un règlement et une directive. Il doit harmoniser le cadre législatif entre les 28 États membres* en l’adaptant aux enjeux du numérique, vingt ans après le vote de la directive 95/46 CE actuellement en vigueur.
La proposition initiale de la Commission européenne remonte à janvier 2012 ; le vote du Parlement, à mars 2014.
Quatre ans de réflexion
En quatre ans, des modifications substantielles ont été apportées au texte. Notamment sur le mécanisme du « guichet unique ».
À l’origine, la Commission européenne prévoyait que les activités d’une entité responsable d’un traitement de données – ou de ses sous-traitants – ne puissent être examinées, à l’échelle de l’UE, que par l’autorité de contrôle de l’État membre où se trouve le principal établissement de l’entité en question.
Les décisions prises par cette autorité compétente devaient être exécutoires dans tous les États membres.
Face aux critiques relatives au possible manque de proximité entre le citoyen et l’autorité compétente, il a été décidé de mettre en place un mécanisme de coopération entre les différentes autorités des États membres.
En cas de litige transfrontalier, l’autorité du lieu du principal établissement devient « chef de file » et coordonne l’action entre les autres autorités de contrôle concernées.
Amendes salées
Le texte, qui sera soumis jeudi 17 décembre au vote de la Commission des libertés civiles du Parlement européen, introduit aussi la notion de « consentement explicite ». En l’occurrence, celui que devront donner les citoyens avant qu’un tiers puisse collecter et exploiter leurs données.
Sur ce dernier point, on notera que l’une des dispositions du texte permet la mise en oeuvre d’un « traitement ultérieur », y compris si la finalité de ce traitement n’est pas compatible avec celle d’origine, aussi longtemps que l’intérêt légitime du responsable prévaut sur celui de la personne concernée.
Le Parlement dans son ensemble devrait être appelé à se prononcer début 2016. Les 28 auront alors deux ans pour assurer l’entrée en vigueur de la directive.
Laquelle fixe aussi le montant maximal des sanctions administratives : en cas de non-respect des obligations imposées par le règlement, les autorités nationales pourront infliger aux sociétés concernées une amende allant jusqu’à 4 % de leur chiffre d’affaires annuel mondial (le Parlement avait proposé 5 % ; le Conseil et la Commission, une grille de 0,5 % à 2 %).
Parmi ces obligations, celle de créer une fonction de « Data protection officer » dès lors que l’on collecte et/ou traite des données personnelles à grande échelle. Mais de déclarer, sous 72 heures, toute faille de sécurité qui pourrait être « dommageable » à des citoyens de l’UE.
Ces derniers auront par ailleurs la possibilité de contester la publicité ciblée en ligne et de faire valoir leur « droit à l’oubli » au sens de l’arrêt rendu par la Cour de justice de l’Union européenne en mai 2014.
* Les États membres ne sont pas parvenus à un consensus sur certains points. Par exemple l’âge à partir duquel des mineurs pourront ouvrir des comptes sur les réseaux sociaux sans accord parental. La limite sera fixée à 13 ou à 16 ans par les autorités nationales.
Crédit photo : MyImages – Micha – Shutterstock.com