L’Europe adapte une législation vieille de 20 ans aux nouvelles réalités du Net et une directive sur la protection de ces données dans les domaines de la police et la justice.
La fin de l’année 2015 aura été riche en événements dans le domaine de la protection des données à caractère personnel. Après le retentissant arrêt Schrems du 6 octobre par lequel la Cour de Justice de l’Union européenne (CJUE) invalidait le Safe Harbor, le Parlement européen et le Conseil ont enfin trouvé en décembre un accord sur le « paquet » visant à réformer la protection des données à caractère personnel.
Initiée en 2012, cette réforme vise à moderniser et harmoniser le droit applicable à la protection des données personnelles dans les Etats membres, toujours issu de la directive adoptée en 1995, époque où l’Internet n’en était encore qu’à ses balbutiements et où personne ne parlait de big data.
Alors qu’un premier texte avait été publié par la Commission le 25 janvier 2012, ce n’est que le 15 décembre 2015, qu’un accord sur le texte du règlement a été trouvé. Ce texte, qui faisait l’objet de discussions en trilogue depuis juin 2015, a été adopté par le Parlement le 14 avril et publié au Journal officiel de l’Union européenne le 4 mai 2016 sous le numéro 2016/679.
Objet de nombreuses tractations, le texte du règlement, s’il reste un document de compromis, témoigne incontestablement de la volonté des législateurs européens de sécuriser les individus et de contribuer au développement du marché unique numérique. La voie du règlement ayant été choisie, le texte sera directement applicable dans l’ordre juridique des Etats-membres à l’issue d’un délai de deux ans à compter de sa publication, soit au mois de mai 2018. Le « paquet » de protection des données comprend non seulement le règlement, mais également une directive relative aux données personnelles traitées à des fins répressives, essentielle dans le contexte actuel de lutte contre le terrorisme.
Renforcer la protection
Le texte présente un ensemble de règles destinées à renforcer les droits des individus. Parmi les nouvelles règles, on trouve le droit à l’oubli, sous réserve de l’absence d’un motif légitime qui s’y opposerait, ainsi que le droit à la portabilité des informations personnelles. La protection des données à caractère personnel devra être prise en compte dès la conception des produits ou services. C’est la consécration du principe de privacy by design and by default.
Au-delà de la simplification qu’apportera automatiquement pour les entreprises un régime juridique uniforme dans les Etats membres, le règlement institue le principe du one-stop-shop (ou guichet unique), qui permettra aux entreprises de ne plus échanger qu’avec l’autorité de protection des données située dans le pays de leur principal établissement.
Les entreprises seront déchargées des obligations de déclaration préalable actuelles mais devront en contrepartie supporter de nouvelles obligations telles que l’obligation de tenir un registre des traitements ou, dans certaines situations, de désigner un délégué à la protection des données et de notifier les violations de données. De façon générale, les obligations seront modulées en fonction du niveau de risque que présentent les traitements concernés, par le biais de la mise en œuvre d’études d’impact.
D’un rôle d’exécutant sous la directive, le « sous-traitant », à savoir le prestataire de services qui traite des données pour le compte du responsable de traitement, devient un acteur à part entière sous la nouvelle réglementation, tenu de tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement et de se conformer à un ensemble étendu d’obligations qui devront être intégrées dans les contrats de services. Quant aux entreprises étrangères ciblant des sujets européens, celles-ci devront se conformer aux mêmes règles que les entreprises situées dans l’Union européenne.
Enfin, des amendes administratives pourront ainsi être prononcées à hauteur du plus élevé des montants suivants : 20 millions d’euros ou 4 % du chiffre d’affaires annuel global de l’entreprise concernée.