Le Parlement, la Commission et le Conseil viennent d’adopter une position commune préfigurant le futur Règlement données personnelles. Ce texte aura des impacts stratégiques sur votre activité, car il concernera la gestion des données des personnes physiques par toutes les entreprises dans l’Union européenne, et viendra en complément des dispositions nationales prévues notamment dans le projet de loi « République numérique ».
Règlement données personnelles : adoption d’une position commune par le parlement, le conseil et la commission le 15 décembre 2015
Afin de remplacer la directive de 1995, un projet de règlement sur la protection des données personnelles dans l’Union européenne était présenté par la Commission en 2012. A l’issue d’ultimes négociations entre le Parlement, le Conseil et la Commission (trilogue) un texte de compromis a été adopté le 15 décembre 2015 avec une publication prévue pour le début 2016.
Le règlement entrera en vigueur deux ans après sa publication (soit en 2018). En tant que règlement, il sera immédiatement applicable dans les Etats membres..
En France, le texte qui sera adopté à l’issue du vote sur le projet de loi « République numérique » devra être observé car il comporte lui aussi des dispositions sur les données personnelles.
Pour ètre plus précis, la question des données personnelles sera régie par deux instruments européens : un règlement général sur la protection des données relatif à la protection des personnes physiques et une directive sur la protection des données en matière de police et de justice pénale.
Pour votre entreprise, le règlement est crucial car il concerne les relations avec les personnes physiques dans le traitement de leurs données et structure un corps de règles uniformes applicables à toutes les entreprises dans l’Union européenne.
Nous reviendrons plus en détails sur le règlement lorsqu’il sera publié dans sa version définitive.
En attendant, voici les principales nouveautés qu’il apporte :
1. Une protection renforcée des données personnelles des personnes physiques
(i) Les principes guidant le traitement de données restent constants : licéité, loyauté, transparence.
(ii) Le consentement pour les enfants de moins de 16 ans est accordé par le titulaire de l’autorité parentale (avec une possibilité pour les Etats membres d’abaisser cet âge à 13 ans).
(iii) « Le droit à l’oubli » se présente sous la forme du retrait de son autorisation par la personne dont la donnée a été collectée, également dans le cas de données collectées auprès d’un mineur.
(iv) Un droit à la portabilité des données est instauré : la personne dont les données sont collectées dans un format standard, peut les réutiliser auprès d’un autre responsable de traitement.
(v) Toute personne peut s’opposer à tout processus de collecte de données à des fins de marketing ou de profilage ; ce droit d’opposition au profilage est écarté quand l’opération est nécessaire à la conclusion ou à l’exécution du contrat.
(vi) En cas d’accès non autorisé à des données à caractère personnel, le sous-traitant et le responsable du traitement sont tenus de signaler l’événement à l’autorité de contrôle nationale et à la personne physique concernée.
2. Un allègement des obligations pour les entreprises
(i) Aucune autorisation préalable n’est nécessaire sauf quand le traitement porte sur une matière sensible figurant sur une liste établie par l’autorité de contrôle de l’Etat membre sous supervision des autorités européennes.
(ii) Le responsable du traitement s’assure que le processus interne à son entreprise pour la collecte de données, est conforme au règlement.
(iii) Un délégué à la protection des données ne doit être désigné que quand l’activité principale de l’entreprise responsable du traitement ou du sous-traitant porte sur le traitement de données ou nécessite systématiquement le traitement de données.
(iv) Une analyse d’impact est nécessaire quand l’opération prévue par l’entreprise la conduit à collecter de nombreuses données personnelles.
3. Transfert vers des pays tiers
(i) Le transfert vers des pays tiers à l’Union européenne a fait l’objet de dispositions spécifiques, qui retiennent particulièrement l’attention après l’invalidation du Safe Harbor par la CJUE le 6 octobre 2015.
(ii) Aucune autorisation n’est nécessaire quand la Commission européenne a décidé que le lieu de transfert disposait d’un niveau satisfaisant de protection ; ce pouvoir de décision est soumis à des critères de conformité imposées notamment par le respect des droits de l’homme et des libertés fondamentales.
(iii) A défaut, le transfert ne pourra avoir lieu qu’en présence de garanties appropriées fournies par le responsable de traitement, telles que des règles contraignantes conclues entre autorités de contrôle, des clauses types adoptées par la Commission, des règles d’entreprise à caractère contraignant ou encore un code de conduite agréé.
(iv) Toutefois, il est possible de procéder à un transfert vers un pays tiers quand la personne a été informée du risque que présente ce transfert, si elle a donné son consentement et si, notamment, ce transfert est nécessaire à l’exécution d’un contrat ou à des « mesures pré-contractuelles ».
4. Organisation du contrôle
Chaque Etat membre dispose d’une autorité de contrôle indépendante afin de mettre en œuvre ce règlement, coopérer avec les autres autorités et traiter les plaintes en disposant d’un pouvoir de contrôle, d’enquête et de sanction (amende pouvant atteindre 4% du chiffre d’affaires annuel). Un mécanisme de cohérence est mis en place au niveau européen sous l’égide de la Commission et du Comité européen de la protection des données.
De Gaulle Fleurance : « L’adoption de l’AI Act positionne l’Europe comme la pionnière de la régulation de l’IA »
Décideurs. La récente adoption de l’AI Act concrétise la volonté de régulation des 27...
Les acteurs les plus puissants du monde des cryptoactifs sont en voie d’institutionnalisation
Retrouvez l’interview d’Anne Maréchal, dans le dossier à la « une » des Echos « On ...
