Protection des données: la Commission présente sa nouvelle stratégie

Publié le par - 1318 vues

Le 4 novembre 2010, la Commission européenne (ci-après la « Commission ») a publié une communication intitulée: « Une approche globale de la protection des données à caractère personnel dans l’Union européenne » (ci-après la « Communication »). Le but est de présenter les grandes lignes d’une réforme du cadre législatif européen applicable aux données à caractère personnel afin de le moderniser et de l’adapter aux nouveaux défis technologiques.

I. Approche générale, processus et principaux défis

Cette Communication est le fruit d’une analyse par la Commission du cadre juridique existant,  entamée à la faveur d’une conférence sur la question qui s’est déroulée à Bruxelles en mai 2009. Celle-ci fut suivie d’une consultation publique (dont les contributions sont disponibles en ligne) et s’accompagna de consultations ciblées auprès d’acteurs spécifiques tout au long de l’année 2010. La Communication explique comment la Commission entend poursuivre la réforme des règles applicables en matière de protection des données à caractère personnel.

De manière générale, la Commission considère comme toujours valables les principes fondamentaux de la Directive. Par exemple, les concepts de données à caractère personnel, responsable du traitement et sous-traitant s’appliquent toujours aux yeux de la Commission. Celle-ci reconnaît néanmoins que le régime existant n’est plus en phase avec les défis posés par la mondialisation et l’évolution rapide et récente des technologies de l’information. A ce titre, la Commission identifie le besoin de:

  • Clarifier et identifier l’application des principes de protection des données aux nouvelles technologies (par exemple au "cloud computing") afin de garantir une protection réelle et effective du droit fondamental à la protection des données.
  • Améliorer l’harmonisation entre les différentes législations des pays membres de l’Union européenne afin de favoriser la libre circulation des données.
  • Tenir compte de la mondialisation et rationaliser les règles applicables aux transferts internationaux de données.
  • Moderniser le cadre institutionnel en vue d’améliorer le respect des législations nationales et de renforcer les pouvoirs des autorités de protection des données.

Par ailleurs, la Commission reconnaît la nécessité de clarifier et de réviser le cadre juridique applicable au domaine de la coopération policière et judiciaire. Elle souligne que ce cadre juridique devrait s’aligner sur le cadre juridique applicable au marché intérieur. Cet aspect de la Communication ne sera pas abordé dans cette brève actualité. Néanmoins, il convient de souligner que cette approche est opportune dans la mesure où la distinction entre les anciens piliers n’est plus de mise. En outre, la frontière entre les données collectées par des entreprises privées et les données utilisées par les autorités publiques s’avère être de plus en plus ténue et poreuse.

II. Propositions concrètes

La Communication fournit de précieuses indications quant aux changements qui pourraient s’opérer et ainsi affecter l’ensemble des acteurs exerçant une activité économique au sein de l’Union européenne. La Commission analyse de manière systématique les grands principes de la protection des données à caractère personnel eu égard aux défis rencontrés. Les principales propositions se trouvent regroupées et décrites ci-dessous.

1. Renforcement des droits des personnes concernées

Transparence: Introduire un principe général de transparence pour le traitement de données à caractère personnel, améliorer les notices d’information en établissant clairement les informations qu’elles devraient contenir, préciser comment ces notices devraient être disséminées et potentiellement introduire des modèles-types européens.

Notification des atteintes aux données à caractère personnel ("data breach notification"): Examiner les modalités d’introduction d’un principe général de notification des atteintes aux données à caractère personnel tout en définissant clairement les destinataires de cette notification (les personnes concernées, les autorités de protection des données) ainsi que les conditions imposant une notification (par exemple, lorsque le manquement porte atteinte aux personnes concernées).

Droit des intéressés: Améliorer l’exercice des droits d’accès, de rectification, de suppression et de verrouillage pour les individus. Par exemple, en fixant des délais de réponse impératifs concernant les demandes des personnes concernées. Cela passerait également par le renforcement du principe de minimisation des données (qui impose au responsable du traitement de définir clairement les finalités d’un traitement et de ne collecter que les données nécessaires à la réalisation de cette finalité).

Introduction de nouveaux droits: D’une part, il s’agirait de reconnaître explicitement le "droit à l’oubli" (en vertu duquel les personnes peuvent obtenir l’arrêt du traitement des données les concernant lorsqu’elles ne sont plus nécessaires à des fins légitimes). D’autre part, la Commission évalue la possibilité d’introduire un droit à la "portabilité des données", c’est-à-dire un droit explicite permettant aux personnes concernées de retirer leurs données (par exemple photos ou liste d’amis) d’une application ou d’un service pour les transférer vers une autre application ou un service tiers.

Sanctions et réparations: Permettre aux autorités chargées de la protection des données et aux associations civiles (par exemple les associations de protection des consommateurs) de saisir directement les juridictions nationales, et renforcer les dispositions en vigueur en matière de sanctions, notamment leur volet pénal.

2. Introduction de nouvelles obligations pour les responsables du traitement

Préposé à la protection des données ("Data Protection Officer"): Renforcer la responsabilité du responsable du traitement en imposant la nomination d’un préposé à la protection des données par le responsable du traitement.

Analyse d’impact au regard de la protection des données ("Privacy Impact Assessment"): Imposer la réalisation d’une analyse d’impact au regard de la protection des données lorsque le type de traitement comporte des risques spécifiques, notamment lorsque des données sensibles sont traitées ou en cas de l’utilisation de certaines technologies (par exemple profilage ou vidéo surveillance).

"Privacy by design": Etudier la notion de "prise en compte du respect de la vie privée dès la conception" et ses possibilités concrètes d’application.

"Accountability": Introduire un principe d’ "accountability" dans le cadre juridique actuel. Ce principe consisterait à imposer aux responsables du traitement la mise en place de politiques internes d’entreprise et de mécanismes appropriés afin de garantir l’effectivité de la protection des données. Ce principe implique non seulement l’obligation du responsable du traitement de se conformer aux règles applicables, mais également celle de pouvoir démontrer aux autorités ou aux personnes concernées comment il s’y tient.

3. Possible redéfinition ou clarification de certains concepts-clés

Consentement: Clarifier et renforcer les règles relatives au consentement de manière à assurer une manifestation de volonté libre et éclairée de la part des personnes concernées.

Données à caractère sensible: Déterminer si d’autres catégories de données devraient être considérées comme "sensibles" (par exemple les données génétiques) et harmoniser davantage les conditions à remplir pour que de tels traitements soient autorisés.

Déclarations: Réduire les formalités administratives en simplifiant et harmonisant les systèmes actuels de déclaration. Cela inclurait un éventuel formulaire d’enregistrement uniforme valable dans toute l’Union européenne.

Autorégulation et corégulation: Promouvoir les mécanismes d’autorégulation  et de corégulation, notamment par la création de codes de conduite mais aussi par la mise en place d’un régime européen de labélisation ou de certification.

4. Approche paneuropéenne harmonisée, institutionnalisée et de portée internationale

Loi applicable: Clarifier et éventuellement réviser les dispositions existantes relatives au droit applicable afin d’assurer le même niveau de protection à tous les résidents de l’Union européenne indépendamment de leur lieu de résidence ou du lieu d’établissement du responsable du traitement.

Transferts internationaux de données: Améliorer et simplifier les procédures actuelles de transferts internationaux de données, y compris certains instruments juridiques tels que les "règles d’entreprise contraignantes"  ("Binding Corporate Rules"). La Commission souhaite en outre clarifier la procédure relative au caractère adéquat du niveau de protection d’un pays tiers ainsi que les conditions requises pour bénéficier de cette reconnaissance.

Autorités de protection des données à caractère personnel: Renforcer, clarifier et harmoniser le statut et les pouvoirs des autorités de protection des données à caractère personnel et améliorer la coopération entre elles, notamment par une meilleure coordination au sein du groupe de l’Article 29 (groupe rassemblant l’ensemble des autorités nationales de protection des données) et éventuellement par la création d’un mécanisme destiné à assurer la cohérence dans le marché intérieur sous l’autorité de la Commission européenne.

Améliorer la coopération internationale: Promouvoir l’élaboration de normes supranationales uniformes et de standards élevés au sein des divers forums internationaux tels que l’OCDE, le Conseil de l’Europe et les Nations-Unies.

III. Prochaines étapes

Cette Communication va servir de point de départ aux discussions à venir à propos de la révision de la Directive. La Commission invite l’ensemble des acteurs et toute personne intéressée à commenter ses propositions avant le 15 janvier 2011. Son intention est de publier une proposition de révision de la Directive dans le courant de l’année 2011.

Pour plus d’information, veuillez consulter le texte complet de la Communication "Une approche globale de la protection des données à caractère personnel dans l’Union européenne."

Droit & Technologies

Annexes

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK