Europe: réforme de la protection des renseignements personnels

La Commission européenne vient de présenter son projet de "réforme globale des règles en matière de protection des données pour accroître la maîtrise que les utilisateurs ont sur leurs données, et réduire les coûts grevant les entreprises".

Voici le communiqué de presse:

"Bruxelles, le 25 janvier 2012 – La Commission européenne a proposé, ce jour, une réforme globale des règles adoptées par l’UE en 1995 en matière de protection des données afin de renforcer les droits en matière de respect de la vie privée dans l’environnement en ligne et de donner un coup d’accélérateur à l’économie numérique européenne. Les progrès technologiques et la mondialisation ont modifié en profondeur les modes de collecte, de consultation et d’utilisation de nos données. En outre, les mesures nationales de transposition de la directive de 1995 diffèrent entre les 27 États membres de l’UE, ce qui a entraîné des divergences dans l’application de ce texte. Une législation unique mettra fin à la fragmentation juridique actuelle et aux lourdes charges administratives pesant sur les entreprises, ce qui permettra à ces dernières de réaliser des économies annuelles de l’ordre de 2,3 milliards d’EUR. Cette initiative contribuera également à renforcer la confiance des consommateurs dans les services en ligne, ce qui donnera un coup de fouet salutaire à la croissance, à l’emploi et à l’innovation en Europe.

«Il y a 17 ans, moins d’1 % des Européens utilisaient Internet. À l’heure actuelle, de grandes quantités de données à caractère personnel sont transférées et échangées d’un continent à l’autre et dans le monde entier, en quelques fractions de seconde», a indiqué Mme Viviane Reding, vice-présidente de la Commission et commissaire chargée de la justice. «La protection des données à caractère personnel est un droit fondamental reconnu à tous nos concitoyens, mais ceux-ci n’ont pas toujours le sentiment de maîtriser entièrement les données à caractère personnel les concernant. Nos propositions législatives contribueront, dès lors, à susciter la confiance dans les services en ligne parce que les utilisateurs seront mieux informés de leurs droits et auront une plus grande maîtrise des informations qui les concernent. La réforme proposée atteindra cet objectif, tout en simplifiant les règles auxquelles les entreprises sont soumises et en réduisant leurs frais. Un cadre juridique solide, clair et uniforme au niveau de l’UE contribuera à libérer le potentiel que possède le marché unique numérique et à soutenir la croissance économique, l’innovation et la création d’emplois.»

La réforme soumise par la Commission met à jour et modernise les principes inscrits dans la directive de 1995 relative à la protection des données afin de garantir à l’avenir les droits en matière de respect de la vie privée. Cette réforme comprend une communication exposant les objectifs de la Commission, ainsi que deux propositions législatives: un règlement définissant un cadre général de l’UE pour la protection des données et une directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes.

Les principales modifications apportées par la réforme sont notamment les suivantes:

• un corpus unique de règles relatives à la protection des données sera valable dans toute l’Union. Les obligations administratives inutiles, comme celles en matière de notification qui incombent aux entreprises, seront supprimées, ce qui représentera pour ces dernières une économie annuelle de quelque 2,3 milliards d’EUR;
• en lieu et place de l’obligation actuelle imposée à toutes les entreprises de notifier l’ensemble des activités concernant la protection de données à des autorités de contrôle compétentes en la matière – cette obligation étant à l’origine de formalités administratives inutiles coûtant 130 millions d’EUR par an aux entreprises, le règlement impose davantage d’obligations aux entités procédant au traitement de données à caractère personnel et accroît leur responsabilité;
• Ainsi, les entreprises et organisations devront, dans les meilleurs délais (si possible, dans un délai de 24 heures), notifier à l’autorité de contrôle nationale les violations graves de données à caractère personnel;
• les organisations n’auront plus comme interlocuteur qu’une seule autorité nationale chargée de la protection des données dans le pays de l’Union où elles ont leur établissement principal. De même, les citoyens pourront s’adresser à l’autorité chargée de la protection des données dans leur pays, même lorsque leurs données sont traitées par une entreprise établie en dehors du territoire de l’UE. Chaque fois que le consentement de la personne concernée est exigé pour que ses données puissent être traitées, il est précisé que ce consentement ne sera pas présumé mais devra être donné explicitement.
• l’accès des personnes concernées à leurs propres données sera facilité, de même que le transfert de données à caractère personnel d’un prestataire de services à un autre (droit à la portabilité des données). La concurrence entre prestataires de services s’en trouvera renforcée.
• un «droit à l’oubli numérique» aidera les citoyens à mieux gérer les risques liés à la protection des données en ligne: ils pourront obtenir la suppression de données les concernant si aucun motif légitime ne justifie leur conservation.
• les règles de l’Union devront s’appliquer si des données à caractère personnel font l’objet d’un traitement à l’étranger par des entreprises implantées sur le marché européen et proposant leurs services aux citoyens de l’Union.
• les autorités nationales indépendantes chargées de la protection des données seront renforcées afin qu’elles puissent mieux faire appliquer et respecter les règles de l’UE sur le territoire de l’État dont elles relèvent. Elles seront habilitées à infliger des amendes aux entreprises qui enfreignent les règles de l’Union relatives à la protection des données. Ces amendes pourront atteindre 1 million d’EUR ou 2 % du chiffre d’affaires annuel global de l’entreprise.
• Une nouvelle directive appliquera les règles et principes généraux relatifs à la protection des données à la coopération policière et judiciaire en matière pénale. Les règles s’appliqueront aux traitements aussi bien transfrontières que nationaux de données à caractère personnel.
• Les propositions de la Commission vont à présent être transmises au Parlement européen et aux États membres de l’UE (qui se réunissent au sein du Conseil de ministres) pour y être examinées et débattues. Elles entreront en vigueur deux ans après leur adoption.

Contexte

On entend par données à caractère personnel toutes les informations relatives à une personne, qu’elles se rapportent à sa vie privée, professionnelle ou publique. Il peut s’agir d’un nom, d’une photographie, d’une adresse de courrier électronique, de coordonnées bancaires, de messages publiés sur des sites de socialisation, de renseignements médicaux ou de l’adresse IP d’un ordinateur. Selon la charte des droits fondamentaux de l’Union européenne, toute personne a droit à la protection, dans tous les aspects de sa vie, des données à caractère personnel la concernant: à son domicile, sur son lieu de travail, lorsqu’elle fait des achats ou reçoit un traitement médical, au poste de police ou sur Internet.

À l’ère numérique, la collecte et la conservation d’informations à caractère personnel sont essentielles. Toutes les entreprises – des compagnies d’assurance aux banques en passant par les sites des médias sociaux et les moteurs de recherches – utilisent de telles données. Dans le contexte de la mondialisation, le transfert de données vers des pays tiers est devenu un élément important de la vie quotidienne. Il n’existe aucune frontière en ligne, et grâce à l’informatique en nuage, des données peuvent être envoyées de Berlin à Boston afin d’y être traitées, puis conservées à Bangalore.

Le 4 novembre 2010, la Commission a présenté sa stratégie visant à renforcer les règles de l’UE en matière de protection des données [IP/10/1462 et MEMO/10/542 (en anglais uniquement)]. Cette stratégie a pour objectif de protéger les données des particuliers dans tous les domaines d’action, y compris en matière répressive, tout en réduisant les formalités administratives pesant sur les entreprises et en garantissant la libre circulation desdites données au sein de l’UE. La Commission a invité les parties concernées à lui transmettre leurs observations au sujet de ses propositions et a mené une consultation publique distincte en vue de la révision de la directive européenne de 1995 relative à la protection des données (directive 95/46/CE).

Les règles de l’Union en matière de protection des données visent à protéger les libertés et droits fondamentaux des personnes physiques, notamment le droit à la protection des données ainsi que la libre circulation de ces dernières. Cette directive générale relative à la protection des données a été complétée par d’autres instruments juridiques tels que la directive «vie privée et communications électroniques». Il existe également des règles spécifiques applicables à la protection des données à caractère personnel dans les domaines de la coopération policière et judiciaire en matière pénale (décision‑cadre 2008/977/JAI).

Le droit à la protection des données à caractère personnel est expressément reconnu par l’article 8 de la charte des droits fondamentaux de l’Union européenne et par le traité de Lisbonne. Le traité contient, à son article 16, une base juridique pour l’adoption de règles relatives à la protection des données pour toutes les activités qui relèvent du champ d’application du droit de l’Union (traité sur le fonctionnement de l’Union européenne)."

(Source: Commission européenne, Communiqué de presse du 25 janvier 2012)

Il ne reste plus qu'à lire les documents intitulés Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) et Proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données.

• EUROPEAN COMMISSION, "Commission proposes a comprehensive reform of the data protection rules", Newsroom, January 25, 2012.
• EUROPEAN COMMISSION, 
• Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), COM(2012) 11/4 draft (attention 119 pages)
• Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), COM(2012) 11/4) (attention 134 pages)
• EUROPEAN COMMISSION,
• Proposal for a Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, COM(2012) 10 final. (attention 55 pages)
• Proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, COM(2012) 10 final. (attention 61 pages)