Protection des données personnelles : la réforme européenne se précise

La protection des données à caractère personnel, et partant de la vie privée, un des piliers de la protection de l’e-réputation (aussi dénommée cyber-réputation, web-réputation ou réputation numérique), va connaître dans les années qui viennent un regain de protection.
C’est du moins la volonté affichée de la Commission de l’Union européenne et de sa vice-présidente, Viviane Reding, également commissaire chargée de la justice.

Pour une réforme globale

La Commission européenne a proposé, le 25 janvier dernier, une réforme globale des règles adoptées par l’Union européenne en 1995 en matière de protection des données à caractère personnel afin de renforcer les droits en matière de respect de la vie privée dans l’environnement en ligne et de donner un coup d’accélérateur à l’économie numérique européenne.
Les progrès technologiques et la mondialisation ont modifié en profondeur les modes de collecte, de consultation et d’utilisation de nos données. En outre, les mesures nationales de transposition de la directive de 1995 diffèrent entre les 27 États membres de l’Union, ce qui a entraîné des divergences dans l’application de ce texte.

Vers une législation unique (réglement européen)

Une législation unique mettra fin à la fragmentation juridique actuelle et aux lourdes charges administratives pesant sur les entreprises, ce qui permettra à ces dernières de réaliser des économies annuelles de l’ordre de 2,3 milliards d’euros. Cette initiative contribuera également à renforcer la confiance des consommateurs dans les services en ligne, ce qui donnera un coup de fouet salutaire à la croissance, à l’emploi et à l’innovation en Europe.

Une adaptation aux nouveaux usages de l’Internet

"Il y a 17 ans, moins d’1 % des Européens utilisaient Internet. À l’heure actuelle, de grandes quantités de données à caractère personnel sont transférées et échangées d’un continent à l’autre et dans le monde entier, en quelques fractions de seconde", a indiqué Mme Viviane Reding, vice-présidente de la Commission et commissaire chargée de la justice. "La protection des données à caractère personnel est un droit fondamental reconnu à tous nos concitoyens, mais ceux-ci n’ont pas toujours le sentiment de maîtriser entièrement les données à caractère personnel les concernant. Nos propositions législatives contribueront, dès lors, à susciter la confiance dans les services en ligne parce que les utilisateurs seront mieux informés de leurs droits et auront une plus grande maîtrise des informations qui les concernent. La réforme proposée atteindra cet objectif, tout en simplifiant les règles auxquelles les entreprises sont soumises et en réduisant leurs frais. Un cadre juridique solide, clair et uniforme au niveau de l’UE contribuera à libérer le potentiel que possède le marché unique numérique et à soutenir la croissance économique, l’innovation et la création d’emplois."

Les perspectives de la réforme

La réforme soumise par la Commission met à jour et modernise les principes inscrits dans la directive de 1995 relative à la protection des données afin de garantir à l’avenir les droits en matière de respect de la vie privée.

Cette réforme comprend :

  • Une communication exposant les objectifs de la Commission, ainsi que deux propositions législatives ;
  • Un règlement définissant un cadre général de l’Union européenne pour la protection des données ;
  • Et une directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes.

Les principales modifications apportées au régime actuel par la réforme sont notamment les suivantes :

  • Un corpus unique de règles relatives à la protection des données sera valable dans toute l’Union ; les obligations administratives inutiles, comme celles en matière de notification qui incombent aux entreprises, seront supprimées, ce qui représentera pour ces dernières une économie annuelle de quelque 2,3 milliards d’euros ;
  • En lieu et place de l’obligation actuelle imposée à toutes les entreprises de notifier l’ensemble des activités concernant la protection de données à des autorités de contrôle compétentes en la matière – cette obligation étant à l’origine de formalités administratives inutiles coûtant 130 millions d’euros par an aux entreprises, le règlement impose davantage d’obligations aux entités procédant au traitement de données à caractère personnel et accroît leur responsabilité ;
  • Ainsi, les entreprises et organisations devront, dans les meilleurs délais (si possible, dans un délai de 24 heures), notifier à l’autorité de contrôle nationale les violations graves de données à caractère personnel ;
  • Les organisations n’auront plus comme interlocuteur qu’une seule autorité nationale chargée de la protection des données dans le pays de l’Union où elles ont leur établissement principal ; de même, les citoyens pourront s’adresser à l’autorité chargée de la protection des données dans leur pays, même lorsque leurs données sont traitées par une entreprise établie en dehors du territoire de l’UE ; chaque fois que le consentement de la personne concernée est exigé pour que ses données puissent être traitées, il est précisé que ce consentement ne sera pas présumé mais devra être donné explicitement ;
  • L’accès des personnes concernées à leurs propres données sera facilité, de même que le transfert de données à caractère personnel d’un prestataire de services à un autre (droit à la portabilité des données) ; la concurrence entre prestataires de services s’en trouvera renforcée ;
  • Un «droit à l’oubli numérique» aidera les citoyens à mieux gérer les risques liés à la protection des données en ligne: ils pourront obtenir la suppression de données les concernant si aucun motif légitime ne justifie leur conservation ;
  • Les règles de l’Union devront s’appliquer si des données à caractère personnel font l’objet d’un traitement à l’étranger par des entreprises implantées sur le marché européen et proposant leurs services aux citoyens de l’Union ;
  • Les autorités nationales indépendantes chargées de la protection des données seront renforcées afin qu’elles puissent mieux faire appliquer et respecter les règles de l’Union sur le territoire de l’État dont elles relèvent ; elles seront habilitées à infliger des amendes aux entreprises qui enfreignent les règles de l’Union relatives à la protection des données. Ces amendes pourront atteindre 1 million d’euros ou 2 % du chiffre d’affaires annuel global de l’entreprise ;
  • Une nouvelle directive appliquera les règles et principes généraux relatifs à la protection des données à la coopération policière et judiciaire en matière pénale. Les règles s’appliqueront aux traitements aussi bien transfrontières que nationaux de données à caractère personnel.

Les propositions de la Commission vont à présent être transmises au Parlement européen et aux États membres de l’Union (qui se réunissent au sein du Conseil de ministres) pour y être examinées et débattues. Elles entreront en vigueur deux ans après leur adoption.

Source : Communiqué de presse de la Commission, du 25 janvier 2013-02-21

Le même communiqué rappelle excellemment la définition de donnés à caractère personnelle :
"On entend par données à caractère personnel toutes les informations relatives à une personne, qu’elles se rapportent à sa vie privée, professionnelle ou publique. Il peut s’agir d’un nom, d’une photographie, d’une adresse de courrier électronique, de coordonnées bancaires, de messages publiés sur des sites de socialisation, de renseignements médicaux ou de l’adresse IP d’un ordinateur. Selon la charte des droits fondamentaux de l’Union européenne, toute personne a droit à la protection, dans tous les aspects de sa vie, des données à caractère personnel la concernant: à son domicile, sur son lieu de travail, lorsqu’elle fait des achats ou reçoit un traitement médical, au poste de police ou sur Internet."

En savoir plus

Lire le communiqué complet accompagné d’une vidéo de l’intervention de Viviane Reding :
http://europa.eu/rapid/press-release_IP-12-46_fr.htm
Lire notre fiche synthétique sur Les données à caractère personnel : le lecteur s’apercevra que beaucoup des règles préconisées par la réforme sont en partie pratiquées en France, avec le concours vigilant de la CNIL. Mais il est des pays qui n’ont pas transposé avec autant de rigueur la directive de 1995, comme par exemple l’Allemagne qui n’a pas transposé les dispositions sur le droit à l’oubli.
Lire notre actualité du 8 septembre 2010 sur le sujet : Données à caractère personnel : Révision de la directive européenne en projet.

Voir également l'actualité de la CNIL en date du 16 janvier 2013, Satisfaction de la CNIL sur le pré-rapport concernant le projet de règlement de la Commission européenne :
www.cnil.fr/la-cnil/actualite/article/article/satisfaction-de-la-cnil-sur-le-pre-rapport-concernant-le-projet...

Didier FROCHOT