EurActiv.fr

Actualités & débats européens dans votre langue

19/01/2017

La protection des données personnelles sort renforcée d’un long toilettage

Société de l'information

La protection des données personnelles sort renforcée d’un long toilettage

Jan Philipp Albrecht

[European Parliament]

La loi sur la protection des données privées en Europe va sortir nettement renforcée d’un toilettage nécessaire.

Des milliers d’amendements ont été ajoutés au texte initial, qui a fait l’objet d’un lobbyisme intense durant sa longue préparation : quatre ans !

En octobre, la Cour de justice européenne avait annulé l’accord de Safe Harbor, qui régissait le transfert de données entre l’UE et les États-Unis. Depuis, les règles de protection de la vie privée européennes sont sous les feux de la rampe.

Les entreprises de technologies et avocats spécialisés dans ces questions trouvent la nouvelle réglementation bien plus stricte que les règles existantes, qui dataient de 1995.

« [La nouvelle législation] inclut de nouveaux concepts et de nouvelles règles, dont l’application sera probablement délicate, et un système de sanctions à un niveau élevé. Dans l’ensemble, elle est plus sévère », explique Tanguy Van Overstraeten, avocat spécialisé dans la protection des données qui travaille pour le cabinet d’avocats Linklaters.

>> Lire : Le Conseil approuve un renforcement de la protection des données

En vertu de la nouvelle réglementation, les utilisateurs pourront exiger l’application du droit à l’oubli par les entreprises, c’est-à-dire la suppression de données à caractère personnel quand elles ne sont plus pertinentes.

Par rapport à la directive de 1995, ce nouveau texte classe également les données. Certains types d’informations, celles liées à la santé, par exemple, sont donc à présent catégorisées comme « sensibles » et devront être gérées avec plus de précautions.

En cas de non-application de ces règles, les entreprises s’exposent à des amendes pouvant atteindre jusqu’à 4 % de leur chiffre d’affaires total. La question du plafond des sanctions a été débattue avec véhémence : les représentants du Parlement défendaient un plafond de 5 %, alors que la Commission et le Conseil souhaitaient un maximum de 2 %.

Selon la proposition, les États membres pourraient interdire aux mineurs de moins de 16 ans de révéler des données privées sur Internet sans autorisation parentale.

Des avocats se plaignent déjà des différences qui ne manqueront pas de voir le jour entre les différents États dans l’application de cette mesure.

« Certains sujets ne seront pas résolus par la législation européenne, mais sont laissés au bon vouloir des autorités nationales. Cela entrainera des incohérences, qui ne sont au final dans l’intérêt de personne », estime Tanguy Van Overstraeten.

La proposition finale qui a été élaborée par les représentants du Parlement, de la Commission et du Conseil, doit à présent être approuvée par la commission parlementaire LIBE (libertés civiles, justice et affaires intérieures) le 17 décembre, puis par l’ensemble du Parlement au début de l’année prochaine, avant de devenir contraignante. Les États membres auront ensuite deux ans pour la mettre en œuvre.

« Les nouvelles règles donneront aux entreprises une sécurité juridique en créant des normes communes de protection des données dans toute l’Europe, ce qui signifie moins de paperasse et plus d’équité sur le marché européen », assure l’eurodéputé Jan Philipp Albrecht (Verts), rapporteur pour cette réglementation, le soir du 15 décembre, après la dernière séance de négociations.

Système unique pour les plaintes

La nouvelle législation modifie également la manière dont les autorités nationales gèrent les plaintes des utilisateurs. Une stratégie dite du « guichet unique » permettra aux résidents européens d’enregistrer une plainte dans leur pays et d’éviter d’avoir à gérer une plainte auprès des autorités d’autres pays membres.

Un groupe de suivi indépendant sera mis sur pied afin de coordonner les autorités nationales qui enregistrent des plaintes communes des consommateurs auprès d’un pays hors UE dans lequel est basée l’entreprise concernée. Ce groupe devra également s’assurer que la réglementation est correctement appliquée partout dans l’UE.

>> Lire : Données personnelles : « Les citoyens sont désarmés face aux géants du Net »

« Je pense que les APD [autorités de protection des données] sont prêtes à mieux collaborer », a estimé Giovanni Buttarelli, contrôleur européen de la protection des données, dont le service gérera le nouveau groupe de suivi.

Il explique également que son service s’assurera que le groupe de suivi soit prêt dès l’entrée en vigueur de la loi.

Les autorités nationales se réunissent le 16 décembre pour discuter de ce nouveau groupe de suivi et du nouvel accord qui doit être mis en place avec les États-Unis pour remplacer Safe Harbor et permettre le transfert des données.

Selon Giovanni Buttarelli, la nouvelle législation « offrira les paramètres des activités à long et court terme de la Commission » en préparant tout autre acte législatif sur le sujet, notamment pour l’accord qui doit être établi avec Washington au début de l’année 2016.

Les représentants des institutions ont également approuvé une version finale d’une nouvelle directive sur la protection des données qui se concentre sur la gestion et le partage des données à caractère personnel par les autorités.

>> Lire : «Les CNIL européennes ne demandent pas un Safe Harbor 2»

Contexte

Les règlementations européennes sur la protection des données ont été adoptées en 1995, alors qu’Internet n'en était encore qu'à ses balbutiements.

En janvier 2012, la Commission européenne a publié un vaste paquet législatif visant à remplacer les règles existantes et à assurer une meilleure protection des données personnelles à travers l'Union européenne.

Ce paquet comprend deux propositions législatives : un règlement général sur la protection des données (directement applicable dans tous les États membres) et une directive spécifique sur la protection des données dans les domaines de la police et de la justice (à transposer dans le droit national).

Le débat sur la protection des données personnelles a pris un nouveau tournant suite aux révélations concernant la surveillance et les écoutes américaines.

Le « lanceur d'alerte » Ed Snowden a révélé la semaine dernière que la NSA disposait d'une autorité secrète à grande échelle pour espionner les courriels et les communications sur Internet en utilisant un programme d’extraction de données appelé PRISM.

Les responsables politiques européens ont vivement réagi à ces nouvelles et ont appelé à des mesures plus strictes pour garantir la sauvegarde de la vie privée.

Prochaines étapes

  • 17 décembre : La commission parlementaire des libertés civiles, justice et affaires intérieures (LIBE) vote sur la proposition d'accord pour la protection des données.
  • Début 2016 : Vote du Parlement sur la proposition d'accord, en séance plénière.