Le nouveau règlement européen sur la protection des données personnelles, dans les cartons du G29 et des instances européennes depuis 2012, vient d'être finalisé et (presque) accepté...
Le 15 décembre dernier, les trois instances des institutions européennes (la Commission, Conseil et le Parlement européen) annonçaient être parvenu à un accord sur le projet de règlement qui doit remplacer la directive 95/46/CE de 1995 sur la protection des données personnelles, afin de garantir un haut niveau de protection de ces données à tous les ressortissants des pays de l'Union Européenne [1].
Cet accord est particulièrement important, dans un contexte d'échanges de données numériques intense et donc d'un besoin de sécurisation accru de ces données, en particulier avec le développement des SaaS et du cloud. Cette protection est d'autant plus nécessaire que l'économie numérique s'appuie massivement sur la collecte et la commercialisation des données personnelles. D'autant plus que, selon la CNIL, les pays ayant un niveau de protection des données personnelles satisfaisant sont très peu nombreux en dehors de l'Union Européenne [2] .
Ce nouveau règlement, attendu de longue date, s'imposait de façon urgente, en particulier depuis l'invalidation par la Cour de Justice Européenne, le 6 octobre dernier, de l'accord dit de Safe Harbor. Cet accord, conclu en 2000 entre la commission Européenne et le département américain du Commerce en matière de protection des données personnelles, était de fait largement sans effet comme l'ont montré les diverses révélations sur la surveillance de masse pratiquée par les Etats-Unis.
L'accord de règlement général sur la protection des données à caractère personnel prévoit une protection accrue des citoyens, avec des mesures favorisant le contrôle de leurs données. En particulier, on observe le renforcement de quatre dispositions qui ne sont jusqu'ici pas toujours appliquées, telles que :
- faciliter l'accès des citoyens à leurs données personnelles,
- assurer la portabilité des données entre opérateurs,
- instaurer un droit au déréférencement plus clair et efficace,
- renforcer le droit d'être informé par les organisations en cas de fuites de données ou d'accès non autorisé aux données personnelles.
- faciliter l'accès des citoyens à leurs données personnelles,
- assurer la portabilité des données entre opérateurs,
- instaurer un droit au déréférencement plus clair et efficace,
- renforcer le droit d'être informé par les organisations en cas de fuites de données ou d'accès non autorisé aux données personnelles.
Pour les entreprises, les règles seront aussi plus claires et plus simples. Les mesures phares qui les concernent sont les suivantes :
- des règles de protection des données personnelles équivalentes et appliquées de la même façon dans tous les pays de l'Union,
- l'application obligatoire du règlement à toutes les entreprises européennes mais aussi à toutes celles qui voudront proposer leurs services dans l'Union, quel que soit le lieu d’hébergement des données,
- un guichet unique pour les entreprises qui veulent s'adresser aux autorités de contrôle,
- le renforcement du rôle et de la responsabilité des Data Protection Officer (l'équivalent des CIL français) [3],
- la suppression des déclarations préalables aux traitements de données personnelles - assortie toutefois d'une obligation de justification de conformité qui pourra être demandé à posteriori par les autorités de régulations.
- des règles de protection des données personnelles équivalentes et appliquées de la même façon dans tous les pays de l'Union,
- l'application obligatoire du règlement à toutes les entreprises européennes mais aussi à toutes celles qui voudront proposer leurs services dans l'Union, quel que soit le lieu d’hébergement des données,
- un guichet unique pour les entreprises qui veulent s'adresser aux autorités de contrôle,
- le renforcement du rôle et de la responsabilité des Data Protection Officer (l'équivalent des CIL français) [3],
- la suppression des déclarations préalables aux traitements de données personnelles - assortie toutefois d'une obligation de justification de conformité qui pourra être demandé à posteriori par les autorités de régulations.
Ajoutons que les pouvoirs de sanction des autorités de contrôle seront renforcés : les amendes pourront aller jusqu'à 4% du chiffre d'affaire mondial des entreprises récalcitrantes (contre un maximum de 150 000 € en France à ce jour) [4].
À la suite de l’accord politique intervenu entre ces trois instances de l'Union Européenne sur ce projet de règlement, il reste encore à faire voter cet accord par le Parlement européen et le
Conseil début 2016. Mais quand ceci sera fait, et à l'inverse de l'ancienne directive qui n'était qu'incitative [5], le règlement sera directement applicable sans transposition dans les droits nationaux dès...2018 !
Sources
[1] Commission européenne - Communiqué de presse, Protection des données dans l’UE: l'accord sur la réforme proposée par la Commission va booster le marché unique numérique, 15 décembre 2015, [Consulté le 4 janvier 2016]
http://europa.eu/rapid/press-release_IP-15-6321_fr.htm[2] CNIL, Carte des autorités de protection des données dans le monde
Législations nationales en matière de protection des données personnelles, [Consulté le 4 janvier 2016]
http://www.cnil.fr/linstitution/international/les-autorites-de-controle-dans-le-monde/
[3] Journal du Net, Explosion des données et sécurité : l’émergence des Data Protection Officer serait-elle la solution ?, Chronique de Bob Klein, 10 décembre 2015, [Consulté le 4 janvier 2016]
http://www.journaldunet.com/solutions/expert/63026/explosion-des-donnees-et-securite---l-emergence-des-data-protection-officer-serait-elle-la-solution.shtml
[4] Amaelle Guiton,L'Europe s'accorde sur la protection des données personnelles
[Consulté le 4 janvier 2016]
http://www.liberation.fr/futurs/2015/12/17/l-europe-s-accorde-sur-la-protection-des-donnees-personnelles_1421077
[5] CNIL, Règlement européen, [Consulté le 4 janvier 2016],
http://www.cnil.fr/linstitution/international/reglement-europeen/
Aucun commentaire:
Enregistrer un commentaire