Données à caractère personnel : le règlement européen avance

La Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus simplement nommé "Règlement général sur la protection des données" a franchi une étape importante le 21 octobre dernier.

Dans la procédure de codécision que suit la proposition de règlement, déposée par la Commission le 25 janvier 2012, et après l'avis de certains organes institutionnels (Contrôleur européen à la protection des données, Conseil économique et social…) la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen a adopté, le 21 octobre, à une forte majorité sa position visant la proposition de règlement de l’UE sur la protection des données personnelles, ainsi que la proposition de directive présentée en parallèle en matière de police et de justice.

Un renforcement de la protection des données

Ce texte constitue, aux dires des observateurs, une certaine avancée dans la protection des citoyens.
La CNIL considère en effet que "De manière générale, les principes de la protection des données et les droits des citoyens sortent renforcés de ce vote, ainsi que les obligations des responsables de traitement et des sous-traitants, avec des sanctions plus dissuasives à la clé".

Parmi ces renforcements de la protection, on peut citer trois points importants.

Sanctions

Les entreprises qui violent les règles seraient soumises à des amendes allant jusqu'à 100 millions d'euros ou 5% de leur chiffre d'affaires annuel mondial, en fonction du montant le plus élevé. (La Commission européenne avait proposé des sanctions allant jusqu'à un million d'euros ou 2% du chiffre d'affaires annuel mondial).

Rappelons qu’actuellement, toute entrave en France à la loi Informatique, fichiers et libertés est punissable d’un maximum de 5 ans de prison et 300 000 € d’amende, amende pouvant être multipliée par 5 (1 500 000 €) lorsque la sanction est étendue à la personne morale de l’entreprise.

Du droit à l'oubli au droit à l'effacement

Selon la commission des libertés civiles, les données personnelles d'un citoyen devraient être effacées s'il en fait la demande. Afin de renforcer ce droit, si une personne demande à un "contrôleur de données" (par exemple une entreprise d'Internet) d'effacer ses informations personnelles, l'entreprise devrait également envoyer la demande aux parties qui dupliquent les données. Ce "droit à l'effacement" couvrirait le "droit à l'oubli" proposé par la Commission européenne.

Actuellement en France, le droit à l’oubli est très limité dans la pratique et le droit à l’effacement de ses données qui pourrait en découler est délicat à mettre en œuvre, notamment sur Internet.

Consentement explicite

Lorsque le traitement des données se base sur le consentement, une organisation ou une entreprise pourrait traiter des informations personnelles uniquement après avoir obtenu l'autorisation explicite de la personne concernée, qui pourrait revenir sur ce consentement à tout moment. Le consentement d'une personne correspond à "toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque" le traitement de ses données personnelles.

Actuellement, en France toujours, le consentement peut être très souvent implicite. Ici, il serait prévu plus formellement une manifestation de volonté explicite de transmettre des données personnelles.

Sources : Communiqués du Parlement européen en date du 22 octobre 2013, et de la CNIL en date du 23 octobre.

Portée d’un Règlement

Rappelons enfin, pour les non-juristes, que la spécificité du texte en gestation à l’Union européenne est qu’il ne s’agit plus d’une directive, dont chaque pays doit s’inspirer plus ou moins largement pour adopter une législation en harmonie avec les autres États membres, mais qu'il s’agit d’un règlement qui s’imposera tel quel, mot pour mot, dans tous les pays de l’Union. On ne connaîtra donc plus les fortes disparités d’une loi Informatique et libertés à l’autre comme c’est aujourd’hui le cas, par exemple entre la France et l’Allemagne.

En savoir plus

Voir :

La Proposition de Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) en date du 25 janvier 2012, sur Eur-Lex :
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52012PC0011:FR:NOT

Le communiqué du Parlement européen du 22 octobre 2013 : Les députés de la commission des libertés civiles renforcent la protection des données dans l'UE :
www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f%2fEP%2f%2fTEXT%2bIM-PRESS%2b20131021...

Le communiqué de la CNIL du 23 octobre : Règlement européen sur la protection des données : une étape décisive franchie par le Parlement européen :
www.cnil.fr/nc/linstitution/actualite/article/article/reglement-europeen-sur-la-protection-des-donnees-une...
 

Didier FROCHOT