Données personnelles : vers l’adoption d’un cadre harmonisé dans l’UE ?

Après plus de deux années de débats sur la très attendue réforme du cadre juridique de la protection des données personnelles dans l’Union, le Parlement européen a adopté en 1ère et unique lecture, le 12 mars 2014, la proposition de la Commission déposée le 25 janvier 2012, en y apportant quelques 207 amendements.

Il ne s’agit pas ici de lister l’ensemble des modifications apportées, mais seulement de présenter certains des apports importants de la version du projet de Règlement qui en résulte.
Un de ces apports a été d’accorder une protection des données à caractère personnel la plus étendue possible. Le champ d’application territorial du Règlement a ainsi été élargi à tout traitement de données concernant des personnes « dans » l’Union, et non plus seulement « ayant leur résidence sur le territoire de l’Union ».
La protection des données sera en outre assurée, que le traitement considéré soit élaboré par un responsable du traitement « ou un sous-traitant », établi ou non dans l’Union européenne et que le traitement ait lieu ou non sur ce territoire.
S’agissant plus particulièrement des droits des personnes concernées, le Parlement entérine la proposition de la Commission et consacre un « droit à l’effacement ». Bien que fondamental, ce droit, connu jusqu’alors sous le nom de « droit à l’oubli numérique », n’a pourtant jamais été réglementé.
La possibilité de pouvoir « effacer » des données personnelles, laquelle n’avait pas été envisagée à l’époque  de la Directive n°95/46/CE est apparue comme une nécessité avec l’essor du web 2.0.
Compte tenu du nombre croissant de données qui sont brassées en continu sur la toile, et des litiges relatifs au traitement illégal de données personnelles, il était indispensable que l’Union européenne organise enfin ce droit. Le droit à l’effacement permettra à la personne concernée d’obtenir du responsable du traitement, ou d’un tiers, l’effacement des données personnelles la concernant et la cessation de la diffusion de ses données, dans les conditions définies dans le Règlement. Sa mise en œuvre risque néanmoins de se heurter à des difficultés pratiques qu’il conviendra de résoudre au fil du temps.
Un autre droit est consacré par le Parlement au titre du droit d’accès des personnes à leurs données : il s’agit de celui d’obtenir auprès du responsable du traitement une copie de ses données personnelles, dans un format électronique interopérable, permettant à la personne de réutiliser ses données, ou de les transférer automatiquement à un autre responsable de traitement.
Enfin, un droit d’opposition spécifique au « profilage » est créé. Il permettra à la personne de s’opposer à ce que ses données soient collectées aux fins d’ «évaluer certains aspects personnels propres à une personne physique ou [d’] analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement».
S’agissant du responsable du traitement et du sous-traitant, leurs obligations sont renforcées à plusieurs niveaux : les éléments d’information relatifs au traitement, à fournir à la personne préalablement à la collecte de ses données, sont multipliés ; des mesures techniques et organisationnelles appropriées et nécessaires par rapport aux risques du traitement devront être mises en place dès la conception du traitement (gestion du cycle de vie complet des données : collecte, traitement, suppression), de manière à garantir la conformité du traitement aux prescriptions du Règlement et la protection des droits et libertés des personnes concernées.
Dans cet objectif de conformité des traitements aux principes essentiels édictés par le Règlement, la place du délégué à la protection des données  est affirmée.
Ainsi, sa désignation deviendra obligatoire dans certains cas, ce qui n’est pas le cas actuellement, la nomination d’un « Correspondant Informatique et Libertés » ou « CIL » en France étant facultative. Un délégué à la protection des données devra ainsi être désigné notamment  lorsque le traitement est effectué par toute  personne morale de droit privé lorsqu’il porte sur plus de 5 000 personnes sur une période de 12 mois consécutifs. Ce sera également le cas, lorsque les activités de base du responsable du traitement ou du sous-traitant consisteront à traiter des catégories particulières de données (dont les données de santé), des données de localisation ou des données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur.
Le texte amendé par le Parlement a été transmis au Conseil. Il est à présager de nouveaux remaniements de cette proposition de Règlement, en suite des élections européennes.
Néanmoins, il serait prudent pour les entreprises d’anticiper d’ores et déjà les changements que cette nouvelle législation impliquera, en procédant notamment à des analyses des risques que les traitements qu’ils réalisent sont susceptibles d’engendrer et en réfléchissant à la désignation d’un CIL si elles n’en ont pas déjà un.

-----------------

Chronique co-écrite avec Lucille Romestin, avocate.