| 

Stratégie numérique - Droits fondamentaux, lutte contre la discrimination - Marché intérieur
La réforme de la protection des données dans l’UE


En janvier 2012, la Commission européenne a proposé une réforme globale des règles adoptées par l’UE en 1995 en matière de protection des données. Il s’agit pour elle de renforcer les droits en matière de respect de la vie privée dans l’environnement en ligne et de donner un coup d’accélérateur à l’économie numérique européenne.

Les principales réformes proposées par la Commission sont contenues dans deux textes législatifs :

  • un règlement définissant un cadre général de l’UE pour la protection des données et
  • une directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes.

Les objectifs poursuivis :

Créer un corpus unique de règles relatives à la protection des données qui sera valable dans toute l’Union. La Commission voudrait par ailleurs voir supprimées les obligations administratives inutiles, comme celles en matière de notification qui incombent aux entreprises. En échange, la Commission veut imposer davantage d’obligations aux entités procédant au traitement de données à caractère personnel et accroître leur responsabilité. Ainsi, les entreprises devront à partir d’un certain seuil qui n’a pas encore été défini engager un responsable de la protection des données ou "data protection officer" (DPO).  Les entreprises et organisations devraient également notifier dans les meilleurs délais (si possible, dans un délai de 24 heures) à l’autorité de contrôle nationale les violations graves de données à caractère personnel.

Les organisations n’auraient plus comme interlocuteur qu’une seule autorité nationale chargée de la protection des données dans le pays de l’Union où elles ont leur établissement principal. De même, les citoyens pourraient s’adresser à l’autorité chargée de la protection des données dans leur pays, même lorsque leurs données sont traitées par une entreprise établie en dehors du territoire de l’UE. Chaque fois que le consentement de la personne concernée est exigé pour que ses données puissent être traitées, il est précisé que ce consentement ne sera pas présumé mais devra être donné explicitement.

L’accès des personnes concernées à leurs propres données serait facilité, de même que le transfert de données à caractère personnel d’un prestataire de services à un autre (droit à la portabilité des données). La concurrence entre prestataires de services s’en trouverait renforcée.

Un "droit à l’oubli numérique" devrait aider les citoyens à mieux gérer les risques liés à la protection des données en ligne : ils pourraient obtenir la suppression de données les concernant si aucun motif légitime ne justifie leur conservation.

Les règles de l’Union devraient s’appliquer si des données à caractère personnel font l’objet d’un traitement à l’étranger par des entreprises implantées sur le marché européen et proposant leurs services aux citoyens de l’Union. Cette dimension de la problématique est devenue encore plus importante après les affaires SWIFT et PNR, ACTA ensuite, au début de la décennie, puis en 2013 le dévoilement des affaires PRISM et Tempora.

Les autorités nationales indépendantes chargées de la protection des données seraient renforcées afin qu’elles puissent mieux faire appliquer et respecter les règles de l’UE sur le territoire de l’État dont elles relèvent. Elles seraient habilitées à infliger des amendes aux entreprises qui enfreignent les règles de l’Union relatives à la protection des données. Ces amendes pourront atteindre 1 million d’EUR ou 2 % du chiffre d’affaires annuel global de l’entreprise.

Une nouvelle directive devrait aussi appliquer les règles et principes généraux relatifs à la protection des données à la coopération policière et judiciaire en matière pénale. Les règles s’appliqueront aux traitements aussi bien transfrontières que nationaux de données à caractère personnel.

Depuis, une discussion sur cette réforme s’est développée dans les milieux professionnels concernés, la société civile et évidemment au Parlement européen et dans les États membres de l’UE qui se réunissent au sein du Conseil qui tourne entre autres autour de plusieurs questions :

  • Les autorités nationales de protection des données seront-elles dotées de moyens suffisants et assez indépendantes pour assurer leur rôle de guichet unique ?
  • Les responsables de protection des données dans les entreprises seront-ils assez indépendants ?
  • Le nombre des entreprises qui devront nommer un responsable de la protection des données ne risque-t-il pas d’être réduit sous la pression des entreprises ?
  • Le droit à l’oubli numérique est-il faisable sous le régime de la nouvelle législation proposée ?   
  • Le règlement, qui devra être repris tel quel par les Etats membres, ne risque-t-il pas de baisser le niveau de protection des données dans des Etats membres où cette protection est d’ores et déjà forte ?
  • Comment l’UE arrivera-t-elle à imposer le respect de ses normes par les Etats tiers où sont situés des serveurs qui traitent des données en provenance de l’UE ?

Europaforum.lu a rassemblé dans ce dossier les textes les plus significatifs publiés sur la question.