On se dirige vers une adoption début 2016 pour le paquet européen relatif aux données personnelles.
Un accord de principe a été trouvé ce mardi 15 décembre, soit six mois tout juste après l’ouverture des négociations entre la Commission européenne, le Parlement et le Conseil des ministres.
Ledit paquet comprend un règlement et une directive. Il doit harmoniser le cadre législatif entre les 28 États membres* en l’adaptant aux enjeux du numérique, vingt ans après le vote de la directive 95/46 CE actuellement en vigueur.
La proposition initiale de la Commission européenne remonte à janvier 2012 ; le vote du Parlement, à mars 2014.
En quatre ans, des modifications substantielles ont été apportées au texte. Notamment sur le mécanisme du « guichet unique ».
À l’origine, la Commission européenne prévoyait que les activités d’une entité responsable d’un traitement de données – ou de ses sous-traitants – ne puissent être examinées, à l’échelle de l’UE, que par l’autorité de contrôle de l’État membre où se trouve le principal établissement de l’entité en question.
Les décisions prises par cette autorité compétente devaient être exécutoires dans tous les États membres.
Face aux critiques relatives au possible manque de proximité entre le citoyen et l’autorité compétente, il a été décidé de mettre en place un mécanisme de coopération entre les différentes autorités des États membres.
En cas de litige transfrontalier, l’autorité du lieu du principal établissement devient « chef de file » et coordonne l’action entre les autres autorités de contrôle concernées.
Le texte, qui sera soumis jeudi 17 décembre au vote de la Commission des libertés civiles du Parlement européen, introduit aussi la notion de « consentement explicite ». En l’occurrence, celui que devront donner les citoyens avant qu’un tiers puisse collecter et exploiter leurs données.
Sur ce dernier point, on notera que l’une des dispositions du texte permet la mise en oeuvre d’un « traitement ultérieur », y compris si la finalité de ce traitement n’est pas compatible avec celle d’origine, aussi longtemps que l’intérêt légitime du responsable prévaut sur celui de la personne concernée.
Le Parlement dans son ensemble devrait être appelé à se prononcer début 2016. Les 28 auront alors deux ans pour assurer l’entrée en vigueur de la directive.
Laquelle fixe aussi le montant maximal des sanctions administratives : en cas de non-respect des obligations imposées par le règlement, les autorités nationales pourront infliger aux sociétés concernées une amende allant jusqu’à 4 % de leur chiffre d’affaires annuel mondial (le Parlement avait proposé 5 % ; le Conseil et la Commission, une grille de 0,5 % à 2 %).
Parmi ces obligations, celle de créer une fonction de « Data protection officer » dès lors que l’on collecte et/ou traite des données personnelles à grande échelle. Mais de déclarer, sous 72 heures, toute faille de sécurité qui pourrait être « dommageable » à des citoyens de l’UE.
Ces derniers auront par ailleurs la possibilité de contester la publicité ciblée en ligne et de faire valoir leur « droit à l’oubli » au sens de l’arrêt rendu par la Cour de justice de l’Union européenne en mai 2014.
* Les États membres ne sont pas parvenus à un consensus sur certains points. Par exemple l’âge à partir duquel des mineurs pourront ouvrir des comptes sur les réseaux sociaux sans accord parental. La limite sera fixée à 13 ou à 16 ans par les autorités nationales.
Crédit photo : MyImages – Micha – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…