La Commission européenne a présenté mercredi 25 janvier une ambitieuse réforme des règles de l’UE en matière de protection des données afin de renforcer la confidentialité en ligne et de stimuler l’économie numérique.
Cette réforme majeure aborde les défis de la mondialisation (les transferts de données sont désormais mondiaux) et les nouvelles technologies (la législation actuelle remontant à une époque pré-Internet). Elle vise également à faire des règles européennes le standard de référence au niveau mondial.
La proposition de la Commission pour le cadre général se constitue d’un règlement, applicable simultanément dans tous les Etats membres dès son adoption. Cette option vise à prévenir une fragmentation juridique entre les 27 États membres de l’UE, écueil dans lequel est tombée l’Union après la directive de 1995 sur la protection des données personnelles.
Les principaux éléments apportés par ces propositions sont les suivants :
– Un corpus unique de règles sur la protection des données, valables dans toute l’UE. Certaines obligations administratives, telles que les exigences de notification pour les sociétés, devraient mener à des économies estimées à € 2,3 milliards par an;
– Une autorité nationale unique sera chargée de la protection des données, dans l’Etat membre où les organisations ont leur établissement principal. De même, les citoyens pourront s’adresser à l’autorité chargée de la protection des données dans leur pays, même lorsque leurs données sont traitées par une entreprise établie en dehors du territoire de l’UE.
– L’indépendance et le pouvoir des autorités nationales chargées de la protection des données seront renforcées afin qu’elles puissent faire respecter les règles de l’UE à dans chaque pays;
– Des règles claires seront définies quant à l’application du droit de l’UE dans les pays tiers et les obligations des contrôleurs de données non-UE : dès lors que les biens et services sont offerts aux individus dans l’UE, ou lorsque leurs agissements seront surveillés, les règles européennes devront s’appliquer;
– La directive mettra en application des principes généraux de protection des données pour la coopération policière et judiciaire en matière pénale. Ces règles s’appliqueront à la fois pour les transferts nationaux et transfrontaliers de données et facilitera les échanges d’informations entre États membres;
De nouveaux droits et devoirs pour les entreprises:
– En lieu et place de l’obligation actuelle imposée à toutes les entreprises de notifier l’ensemble des activités concernant la protection de données à des autorités de contrôle, le règlement impose davantage d’obligations aux entités procédant au traitement de données à caractère personnel et accroît leur responsabilité;
– Les entreprises et organisations devront, dans les meilleurs délais (si possible, dans un délai de 24 heures), notifier à l’autorité de contrôle nationale les violations graves de données à caractère personnel;
– Les règles de l’Union devront s’appliquer si des données à caractère personnel font l’objet d’un traitement à l’étranger par des entreprises implantées sur le marché européen et proposant leurs services aux citoyens de l’Union ;
– Les autorités chargées de la protection des données seront habilitées à imposer des sanctions et amendes aux entreprises ayant violé les règles de l’UE en matière de protection des données (jusqu’à € 1 million ou 2% du chiffre d’affaires global annuel d’une entreprise).
– Les flux de données légitimes vers des pays tiers seront facilités par le renforcement et la simplification des règles sur les transferts de données internationaux vers des pays ne disposant pas de réglementation pertinente;
– Chaque entreprise de plus de 250 salariés et impliquée dans des opérations de transfert/traitement des données susceptibles de présenter des risques pour les droits et libertés des individus devra désigner un agent chargé de la protection des données ;
Renforcer la confiance et la transparence pour les citoyens/consommateurs:
– L’accès des personnes concernées à leurs propres données sera facilité, de même que le transfert de données à caractère personnel d’un prestataire de services à un autre (« droit à la portabilité des données »).
– Les clauses relatives à la gestion des données devront être visibles, clairement indiquées et rédigées;
– Pour exploiter des données, il sera nécessaire d’obtenir le consentement explicite du citoyen – celui ne pourra plus être présumé mais devra être clairement donné ;
– Un «droit à l’oubli numérique» aidera les citoyens à mieux gérer les risques liés à la protection des données en ligne: ils pourront obtenir la suppression de données les concernant si aucun motif légitime ne justifie leur conservation ;
– Le droit à l’information et à l’accès des données individuelles sera conforté et renforcé.
Les propositions de la Commission vont désormais être transmises au Parlement européen et aux États membres. Les négociations et discussions devraient prendre 1 ou 2 ans, et les règles une fois amendées entreront en vigueur deux ans après leur adoption. Par conséquent, la mise en œuvre complète de ces règles n’est pas attendue avant 2015 ou 2016.
Commentaires récents