04 / Fév

Paquet Européen « protection des données personnelles »

Le Parlement européen, le Conseil européen et la Commission européenne se sont enfin entendus pour adapter, à l’ère de l’Internet grand public et des géants du Web, la directive qui régissait la protection des données personnelles depuis 1995. Ce projet a été adopté le 17 décembre 2015 par la Commission des libertés civiles, de la justice et des affaires intérieures du Parlement Européen.

La discussion portait sur deux textes :

D’une part, un règlement sur la protection des données (applicable automatiquement, il s’impose aux Etats)
D’autre part, une directive spécifique concernant les données utilisées par la police et les autorités judiciaires qui devra être transposée dans le droit national de chaque Etat membre.
Ce règlement a pour fonction de renforcer la capacité des citoyens à contrôler leur données personnelles présentent sur les services internet et les plates-formes.

Ainsi, les personnes concernées bénéficieront :

d’un droit à la portabilité, c’est à dire que leurs fichiers et autres informations les concernant et stockées dans un service pourront être exportés vers une autre plate-forme s’ils le veulent ;
du droit à l’oubli qui était jusqu’alors appliqué de manière partielle dans l’Union Européenne depuis 2014 en vertu d’une décision de 2014 ;
d’une meilleure transparence : Le citoyen pourra mieux comprendre ce qui est fait de ses données et exercer ses droits plus simplement et pourra notamment contester la publicité ciblée, permise par le recueil massif et le traitement de ses données ;
d’une protection des mineurs qui sera renforcée notamment sur les services en ligne (âge minimum, etc.) ;
Du côté des entreprises, de nouvelles contraintes mais également simplifications sont prévues :

l’obligation de nommer un responsable de la protection des données dans chaque multinationale ;
en cas de litige, la mise en place un guichet unique : ce sera l’autorité de régulation du pays où l’entreprise à son siège qui sera compétente. (Exemple : Si l’entreprise à son siège social en France alors la CNIL est compétente)
renforcement des sanctions en cas de non respect de la volonté des utilisateurs, pour les entreprises qui brassent quelques dizaines de milliards par an, sont colossales. Ces dernières peuvent atteindre 4% de leur chiffre d’affaire.
Ce règlement tant attendu a pourtant fait des déçus. En effet, plusieurs associations (Privacy International, European Digital Rights, des associations de défense des libertés en ligne aux Pays-Bas ou en Allemagne…) jugent que « l’essentiel a été sauvé », mais voient dans les dispositifs d’harmonisation « une parodie de l’intention originale. Le texte final prévoit plus d’exceptions que la législation précédente n’avait d’articles ».

Reste que ces nouvelles règles s’appliqueront à toutes les entreprises qui comptent des utilisateurs dans l’Union européenne, y compris si elles sont basées ailleurs. A charge pour elles d’assurer aux données personnelles, si elles les transfèrent vers des infrastructures situées hors du territoire européen, un niveau de protection au moins équivalent à celui garanti par le règlement.

Le règlement devrait entrer en vigueur deux ans après sa promulgation, soit début 2018.