Projet de Règlement européen sur la protection des données

Le projet de Règlement européen du 25 janvier 2012 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Le cadre juridique de la protection des données personnelles au niveau européen est actuellement en cours de réforme. Le projet de Règlement européen du 25 janvier 2012 portant sur la protection des données a été adopté en première lecture par le Parlement européen en mars 2014. Le projet devra faire par la suite l´objet d´une validation de la part du Conseil, un compromis n´étant attendu que pour la fin de 2015, mi-2016.

En effet, le Règlement européen sur la protection des données devra remplacer la Directive du 24 octobre 1995. Cette mesure répond à une nécessaire adaptation et actualisation du cadre normatif européen, car la Directive de 1995 a été élaborée bien avant la généralisation de l´Internet, l´essor de l´économie numérique et le développement des réseaux sociaux. Le Règlement doit permettre une meilleure harmonisation des règles et renforcer les droits des citoyens européens en matière de vie privée face aux différents traitements de données.

Parmi les principales mesures que prévoit ce projet de Règlement, on peut citer les points suivants :

-la consécration formelle de la notion de droit à l´oubli (art. 17). Aux termes de ce projet, le droit à l´oubli ne s´appliquera pas s´il est susceptible de heurter l´exercice du droit à la liberté d´expression ou pour des motifs d´intérêt général dans le domaine de la santé publique ;

-la mise en place des principes relatifs au traitement des données : la licéité, loyauté, et transparence ; la limitation de la finalité du traitement ; la limitation des données au minimum ; la minimisation de la durée de conservation ; l´intégrité des données traitées; la responsabilité ;

-l´établissement d´un droit à la portabilité des données ;

-le remplacement des procédures actuelles fondées sur des formalités administratives préalables auprès de la CNIL par un système d´analyse d´impact pour les traitements les plus risqués ;

-la désignation d´un Délégué à la Protection des Données, dont le rôle sera de surveiller et d’auditer l’entreprise, dans les hypothèses suivantes (évolution de la fonction actuelle de CIL en France, pour “Correspondant Informatique et Libertés”) : le traitement est effectué par une personne morale (les entreprises de plus de 150 salariés) et porte sur plus de 5 000 personnes concernées sur une période de douze mois consécutifs ; des traitements qui du fait de leur nature, de leur portée et/ou finalités exigent un suivi régulier et systématique des personnes concernées ; des traitements des données de localisation ou des données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur ;

-la mise en place du devoir d´informer la personne concernée de l´existence du traitement des données et de ses finalités, de la durée probable pendant laquelle les données seront conservées pour chaque finalité et de l´éventuelle transmission des données à des tiers ou à des pays tiers ;

-le renforcement de l´obligation d´obtenir le consentement de la personne concernée par le traitement : le responsable du traitement devrait informer la personne concernée d’une manière visible et facilement lisible et dans un langage aisément compréhensible d’une série éléments d’informations ( la durée de la conservation, les fins de la collecte et du traitement, la divulgation à des tiers commerciaux, la conservation sous forme cryptée ou sous autre forme, les mesures de sécurité appliquées); la personne concernée devra pouvoir retirer son consentement ; le consentement est lié à la finalité et deviendra caduc si cette finalité n’existe plus ou dès que le traitement des données à caractère personnel n’est plus nécessaire pour la réalisation de la finalité pour laquelle elles ont été initialement collectées ;

-la mise en place du principe d´ « accountability » en vertu duquel le responsable du traitement doit non seulement se conformer à la loi mais aussi justifier des mécanismes internes utilisés afin de garantir la conformité de ses traitements à la règlementation « Informatique et libertés »

-la consécration juridique des règles d´entreprise contraignantes (plus connues sous le sigle « BCR » pour Binding Corporate Rules) ;
-la généralisation de l´obligation de notifier les failles de sécurité aux autorités de régulation (en France la CNIL) dans un délai inférieur à 24 heures au plus tard après en avoir pris connaissance à l´ensemble des responsables des traitements (art.31) ;

-le renforcement des obligations et responsabilités des sous-traitants qui seront soumis à des obligations impératives d’effectuer des études d’impact, de notifier les failles de sécurité et de documenter leurs interventions. Le sous-traitant sera désormais susceptible d´engager directement sa responsabilité (art.3) ;

-la soumission des entreprises qui n´ont ni serveurs, ni établissements sur le territoire de l´Union européenne, au cadre européen de la protection des données personnelles des lors qu´elles proposent des biens ou services aux citoyens européens ;

-le renforcement des droits des personnes concernées par le traitement a été proposé proposé par le Parlement européen : la fourniture d´informations claires et compréhensibles quant aux données à caractère personnel ; le droit d´accéder à ses données, de les rectifier ou de les effacer ; le droit d´obtenir des données ; le droit de s´opposer au profilage ( à toute forme de traitement automatisé des données destiné à évaluer certains aspects personnels propres à une personne physique) ; le droit de déposer une réclamation auprès de l´autorité de protection des données compétente et d´engager une action en justice ; le droit d´obtenir réparation et de percevoir une indemnisation en cas d´opération de traitement illégale ;

-le renforcement du pouvoir de sanction des autorités nationales (les sanctions pourraient aller jusqu´à 2% du chiffre d´affaires mondial) et la mise en place d´un mécanisme de contrôle.

Les entreprises françaises devront se conformer aux dispositions du futur Règlement avant son adoption, dans la mesure où le Règlement sera d´application immédiate (article 288, alinéa 2 du Traité sur le fonctionnement de l´Union européenne). En conséquence, dès l´entrée en vigueur du Règlement, aucun projet informatique ne pourra être mis en place s´il n’est pas conforme aux dispositions de son texte. A cet effet, il est recommandé d´adapter dès le présent les cahiers des charges et les appels d´offres aux dispositions du futur règlement.

Projet de Règlement européen sur la protection des données

Newsletter du cabinet : Infos, Articles, Agenda et Formation du cabinet

Affaire Facebook “Une violation flagrante du droit à la protection des données personnelles”

La protection des données personnelles dans les flux transatlantiques : quid de la législation américaine ?

Le Comité Européen de protection des données : un nouvel organe de coopération entre les CNIL européennes va venir remplacer le G29

Une meilleure maîtrise des cookies tiers pour renforcer le droit à la vie privée

“Les députés adoptent la “taxe YouTube””

La stratégie européenne sur la cybersécurité

Les dispositions de la loi « renseignement » relatives à la surveillance hertzienne contraires à la Constitution

Autres articles