Données personnelles : Les eurodéputés entendent renforcer l’arsenal préventif et répressif

Publié le par - 49 vues

Hasard du calendrier, à l’heure même où les révélations effectuées par Snowden sur les écoutes massives et l’affaire PRISM suscitent les plus vives inquiétudes, les eurodéputés de la Commission Libertés civiles, justice et affaires intérieures viennent d’adopter le 21 octobre dernier une version amendée des propositions de Règlement et de Directive renforçant encore les dispositions initialement prévues.

La Commission européenne s’est attelée à la révision de la réglementation relative à la protection des données personnelles et a publié à cette fin en janvier 2012 un projet de « Paquet sur la protection des données ». Ce chantier d’importance majeure qui verra l’abrogation de la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données repose sur deux piliers :

  1.  La proposition de Règlement européen sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel, et libre circulation de ces données. (Le règlement a vocation a instaurer le cadre général de la protection des données personnelles applicable au secteur privé et public.)
  2.  La proposition de Directive sur la Protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et libre circulation de ces données. (La proposition de Directive fixera les règles applicables aux traitements de données personnelles en matière de police et de justice).

Une étape de plus vient donc d’être franchie dans la révision de la réglementation européenne en matière de protection des données et l’adoption d’une version amendée du Paquet sur la protection des données qui renforce les exigences applicables et notamment :

  • Réaffirmation de la volonté d’harmonisation de la réglementation et de simplification des démarches administratives.

En décidant d’implémenter le cadre général de la protection par voie de Règlement (ne nécessitant pas de transposition nationale) plutôt que par une Directive, la Commission et le Parlement affirment leur volonté d’instaurer une règle commune applicable de manière uniforme dans les 28 pays. Dans la même optique de simplification des démarches pour les entreprises, le Règlement propose l’instauration d’un guichet unique pour l’Europe (autorité nationale chargée de la protection des données du pays de l’Union sur le territoire duquel l’entreprise a son établissement principal). Les députés proposent à l’article 4 (13) une définition de l’établissement principal listant différents critères:

« ‘main establishment’ means the place of establishment of the undertaking or group of undertakings in the Union, whether controller or processor, where the main decisions as to the purposes, conditions and means of the processing of personal data are taken. The following objective criteria may be considered among others: The location of the controller or processor’s headquarters; the location of the entity within a group of undertakings which is best placed in terms of management functions and administrative responsibilities to deal with and enforce the rules as set out in this Regulation; the location where effective and real management activities are exercised determining the data processing through stable arrangements”

 

  •  Proposition de renforcement de l’exigence de consentement « explicite » du consommateur (art. 4).

Les députés proposent de préciser, non seulement, que les consommateurs doivent pouvoir retirer leur consentement aussi facilement qu’ils ont pu le donner, mais également, de prévoir que les entreprises ne peuvent pas subordonner l’exécution d’un contrat ou la fourniture d’un service au consentement du consommateur à des traitements qui ne seraient pas strictement nécessaires.

  •  Proposition d’aggravation des sanctions financières applicables en cas de violation de la réglementation (art.79 modifié). 

Alors que la Commission proposait une peine d’amende de 1.000.000€ pouvant aller jusqu’à 2% du chiffre d’affaire mondial, les députés proposent de renforcer significativement les sanctions financières en proposant qu’elles puissent aller jusqu’à 100.000.000 € ou 5% du chiffre d’affaires mondial annuel d’une entreprise.
« Article 79: Administrative sanctions
1. Each supervisory authority shall be empowered to impose administrative sanctions in accordance with this Article. The supervisory authorities shall co-operate with each other in accordance with Articles 46 and 57 to guarantee a harmonized level of sanctions within the Union. (…)
2(a) To anyone who does not comply with the obligations laid down in this Regulation, the supervisory authority shall impose at least one of the following sanctions:
a) a warning in writing in cases of first and non-intentional non-compliance;
b) regular periodic data protection audits;
c) a fine up to 100 000 000 EUR or up to 5% of the annual worldwide turnover in case of an enterprise, whichever is greater.”

  •  Précisions sur l’obligation de notification des fuites de données

Plutôt qu’un délai fixé à 24h, les députés proposent de prévoir que l’obligation de notification doive être effectuée « sans délai injustifié », et expliquent dans les considérants qu’en pratique ce délai pourrait aller jusqu’à 72h. La notification de la personne dont les données ont été compromises ne serait plus imposée que lorsqu’il existe un risque d’atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée, notamment en cas de vol ou d’usurpation d’identité, de perte financière, de dommage physique, d’humiliation grave ou d’atteinte à la réputation. Toutefois, l’entreprise pourrait se dédouaner de cette obligation de notification de la victime, si elle peut démontrer qu’elle a mis en place des mesures de protection technologiques appropriées qui rendent inintelligible les données à toute personne qui n’est pas autorisé à y accéder.

  •  Proposition de renforcement de l’encadrement du profilage.(art.20)

Etablissement d’une obligation d’information et de consentement préalable du consommateur, interdiction d’avoir pour conséquence d’entraîner une discrimination sur la base de la race, de l’origine ethnique , des opinions politiques , de la religion ou des convictions, de l’appartenance syndicale , de l’orientation sexuelle ou de l’identité de genre, Interdiction de profiler les enfants…

  •  Proposition de renforcement du droit à l’oubli/à l’effacement des données (art.17 modifié).

 

La commission des libertés propose que tout citoyen puisse demander aux responsables de traitement d’effacer les données qui le concerne, charge au responsable de traitement de prendre toutes les mesures nécessaires pour que les tiers à qui lesdites données ont été transmises procèdent également à leur effacement. Cette disposition ayant pour objet de lutter contre la survivance des informations au travers de liens, copies de données… disséminés sur le web.


Les géants du web US sont également en ligne de mire

 

  •  Proposition de renforcement du champ d’application territorial des dispositions (art.3 modifié). 

Le Parlement européen réaffirme le principe selon lequel les entreprises établies en dehors de l’Union européenne doivent respecter la réglementation européenne de protection des données lorsqu’elles offres de services aux consommateurs européens et renforce ce principe en proposant de préciser que ce principe s’applique indépendamment du fait notamment que les services soient fournis à titre payant ou gratuit
Article 3: Territorial Scope
1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, whether the processing takes place in the Union or not.
2. This Regulation applies to the processing of personal data of data subjects in the Union by a controller or processor not established in the Union, where the processing activities are related to:
(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
(b) the monitoring of such data subjects.

  •  Renforcement de la protection applicable aux transferts de données hors europe. (nouvel article 43bis)

 

Sur fond d’écoutes massives, les députés proposent que les demandes d’accès aux données personnelles stockées et traitées dans l’Union européenne résultant d’une demande émise par une autorité publique, une court ou un tribunal d’un Etat tiers, soient soumises à une obligation d’autorisation préalable délivrée par l’autorité de protection des données compétente. Concrètement, le Responsable de traitement ou le prestataire informatique qui serait saisit d’une telle demande de communication des données, devra notifier cette demande sans délais à l’autorité de protection des données compétente et obtenir l’autorisation de cette dernière avant de communiquer les données personnelles.


Prochaines Etapes ?

Les textes vont maintenant être transmis au Conseil avec un objectif ambitieux pour le Parlement Européen : Obtenir un accord sur le Paquet données personnelles avant les élections européennes de mai 2014.
Une fois adopté, les États membres disposeront alors d’un délai de deux ans pour appliquer le règlement et pour transposer la directive dans leur droit national.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK