Protection des données personnelles : adoption par le Parlement européen du règlement européen

La Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) a voté le 21 octobre 2013, l’ensemble de la proposition de règlement « Data Protection ». Le vote portait également sur la proposition de directive présentée en parallèle en matière de police et de justice.

 Face aux défis de la communication numérique, l’adoption de règles communes aux Etats-membres qui remplaceront les lois nationales ont pour objectif :
  • De renforcer le contrôle des citoyens sur leurs données à caractère personnel,
  • De faciliter le déplacement des entreprises dans l’UE.
Ce faisant, les obligations des responsables de traitement et des sous-traitants sont complétées, et des sanctions plus dissuasives sont mises en place. Les députés ont introduit :
  • Des sauvegardes pour le transfert des données aux pays tiers : si un pays-tiers demande à une entreprise de dévoiler des données à caractère personnel traitées au sein de l’UE, l’entreprise devra recevoir l’autorisation du Contrôleur européen de la protection des données avant de transmettre l’information. Cette réponse, certes partielle, mais politiquement importante est une première étape vers la construction d’un cadre juridique protecteur à l’encontre des activités de renseignement de pays tiers.
  • Des amendes plus élevées : les sanctions pourront aller jusqu’à 100 millions d’euro ou 5 % du chiffre d’affaires annuel mondial. La Commission européenne avait proposé 1 million d’euros et 2 % du chiffre d’affaires annuel mondial.
  • L’obligation de recueillir un consentement explicite : lorsque le traitement se base sur le consentement, la personne doit accepter par une déclaration ou par un acte positif univoque le traitement. Seul le consentement explicite sera donc valide.
  • Un renforcement de l’information préalable de la personne concernée, au sujet des données traitées : lorsque la personne concernée le demande, l’entreprise à l’origine de la collecte ou du traitement doit fournir toutes informations permettant d’éclairer le consentement.
  • Le droit à l’effacement : les données d’un citoyen doivent être effacées s’il en fait la demande et l’entreprise auprès de laquelle la demande est formulée doit la transmettre aux parties dupliquant les données. Ce droit équivaut au droit à l’oubli.
Les députés ont aussi fixé des limites au profilage utilisé pour prédire le comportement d’une personne, ses performances professionnelles, l’évolution de sa santé etc. La personne concernée va disposer d’un opt-out.
On note que sur plusieurs points, les propositions faites par la CNIL ont été entendues.
En ce qui concerne le projet de directive, et comme l’avait demandé la CNIL, le traitement des données biométriques fait l’objet d’un encadrement plus strict que dans la proposition initiale, et il est expressément laissé aux États membres la possibilité de prévoir un niveau de protection plus élevé.

La Commission LIBE s’est tenue à son calendrier

Le processus n’est pas terminé et les textes évolueront encore. La commission parlementaire a donné au Parlement européen un mandat pour débuter les négociations avec les gouvernements nationaux au Conseil. Les négociations débuteront lorsque le Conseil aura fait connaître sa position sur les deux propositions, directive et règlement. L’objectif est de conclure un accord pour mai 2014 au plus tard.
A ce stade, la CNIL reste préoccupée par certains points majeurs du projet de règlement dont le critère de compétence des autorités de protection. Pour la CNIL, il devrait être fondé sur les citoyens ciblés. Ainsi, dans des situations transfrontalières, les citoyens concernés devraient pouvoir former un recours devant la juridiction administrative de leur pays de résidence contre les décisions qui les affectent