Newsletters
11.12.2017Franklin

Paquet sur la protection des données : accord conclu le 15 décembre au niveau européen

Le 15 décembre 2015, les négociateurs du Parlement Européen et du Conseil de l’Union Européenne sont parvenus à un accord informel en trilogue sur le paquet relatif à la protection des données.
Ledit paquet comprend d’une part un Règlement établissant le régime général en matière de la protection des données personnelles, et d’autre part une Directive qui s’applique aux données personnelles traitées à des fins répressives. Cette réforme avait été proposée en 2012 par la Commission Européenne afin de remplacer la directive régissant la matière depuis 1995 et harmoniser le cadre législatif entre les États membres.
Depuis cette date, des négociations intenses ont été engagées. Elles ont débouché mardi dernier sur cet accord. Ainsi, bien que les détails du texte n’aient pas été révélés, le Parlement et le Conseil ont confirmé plusieurs éléments qui figureront dans le nouveau règlement.
D’une part, les droits des citoyens sont renforcés. Par exemple, les consommateurs devront faire part de leur consentement explicite pour l’utilisation de leurs données. Ils auront également la possibilité de contester la publicité ciblée en ligne.
Le principe du « droit à l’oubli », par lequel une personne peut demander à ce que les informations obsolètes la concernant soient supprimées, est en outre entériné. Les internautes devraient également disposer d’un droit à la portabilité permettant de transférer leurs données d’une plateforme en ligne vers une autre.
Enfin, un point controversé sur l’accès des mineurs aux réseaux sociaux devrait rester du ressort des États. En effet, les États membres ne sont pas parvenus à se mettre d’accord sur la limite d’âge à partir de laquelle les adolescents pourront s’y inscrire sans l’accord parental. De ce fait, les États membres seront libres de fixer leurs propres limites entre 13 et 16 ans.
D’autre part, du côté des entreprises, certaines procédures sont simplifiées. Elles seront dispensées d’un grand nombre de tâches administratives auxquelles elles étaient soumises auparavant (suppression des notifications préalables). En contrepartie, elles seront tenues de respecter un principe de responsabilité ou « accountability » et les obligations qui leur incombent seront modulées en fonction du risque potentiel pour la vie privée que peuvent présenter leurs activités.
Le nouveau règlement devrait également imposer de nouvelles obligations aux entreprises, dont celle de signaler toute violation de données à caractère personnel aux autorités nationales dans les 72 heures.
Par ailleurs, les entreprises devront désigner un délégué à la protection des données si elles traitent des données sensibles à grande échelle ou collectent les informations de nombreux consommateurs.
En outre, les sociétés n’auront désormais qu’un seul interlocuteur : l’autorité de l’État membre où se trouve leur principal établissement. En cas de litige transfrontalier, cette autorité « chef de file » coordonnera l’action entre les autres autorités de contrôle concernées (mécanisme de coopération). Ce nouveau principe risque ainsi de neutraliser les effets de la décision Weltimmo de la CJUE en date du 1er octobre 2015.
Enfin, en cas de non-respect des obligations imposées par le règlement, les autorités nationales pourront infliger aux sociétés concernées une sanction administrative allant jusqu’à 4 % de leur chiffre d’affaires annuel mondial, ce qui pourrait représenter une somme très importante pour les entreprises internationales, en particulier les géants du net.
L’accord ainsi conclu doit encore être confirmé par les représentants permanents des Etats membres et sera soumis à un vote de confirmation en Commission des libertés civiles très prochainement. Si l’accord est approuvé en commission parlementaire, il sera ensuite mis aux voix en session plénière l’année prochaine. À partir de là, le règlement, qui s’appliquera directement dans tous les pays de l’UE, entrera en vigueur après deux ans.