Les principales mesures du nouveau règlement européen sur la protection des données

L'UE a approuvé le 15 décembre au soir le règlement sur la protection des données, qui renforce considérablement les pouvoirs de sanction des Cnil nationales.

La Commission européenne, le Parlement européen et le Conseil européen, qui travaillent depuis cet été à la constitution d'un compromis, se sont entendus le 15 décembre au soir sur un règlement européen sur la protection des données, qui harmonise des législations nationales très variées (voire inexistantes) pour donner aux citoyens un meilleur contrôle sur la façon dont leurs données sont collectées et utilisées. Comme tout règlement, celui-ci n'aura pas besoin d'être transposé en droit national et s'appliquera directement à partir du début 2017.

Parmi les principales mesures approuvées, on trouve :

  • Un important pouvoir de sanction accordé aux différentes "Cnil" nationales, qui pourront infliger des amendes allant jusqu'à 4% du chiffre d'affaires mondial (jusqu'à un certain plafond) des entreprises qui utilisent à mauvais escient les données numériques des gens, notamment en y accédant sans leur consentement. Autrement dit, des amendes pouvant atteindre plusieurs millions d'euros qui devraient a minima constituer une bonne dissuasion. Toutefois, pour ne pas empêcher les entreprises de tirer profit du big data, elles pourront traiter librement les données une fois effacée l'identité précise des utilisateurs.
  • L'obligation, pour les entreprises victimes de fuite de données, de signaler leur cas aux régulateurs nationaux sous trois jours, sous peine là encore de fortes amendes.
  • Le droit à l'oubli, entériné par le règlement, qui permet aux citoyens européens de demander à supprimer des informations en ligne qui les concernent mais ne sont plus pertinentes.
  • La portabilité des données, qui permet aux utilisateurs de demander le transfert de leurs données d'une plateforme vers une autre.
  • L'obligation, pour les moins de 16 ans, de demander une autorisation parentale avant de pouvoir utiliser des services tels que Facebook, Snapchat ou Instagram. Bruxelles proposait 13 ans comme aux Etats-Unis, mais certains pays dont la France ont poussé pour relever cette majorité numérique. Chaque Etat membre est toutefois libre d'y déroger.
  • L'extension de ces nouvelles règles à toutes les sociétés qui comptent des utilisateurs dans l'Union européenne, même si elles sont basées hors de l'UE. Dans la Silicon Valley par exemple.

Autrement dit, le règlement se fait beaucoup plus protecteur des citoyens européens que la législation équivalente aux Etats-Unis, mais également bien plus sévère à l'égard des sociétés qui y contreviendraient. Naturellement, les géants américains ont protesté en accusant l'Union de les cibler injustement, au détriment de leurs petits rivaux européens. Ils estiment en particulier que lier les sanctions au chiffre d'affaires mondial n'a pas de sens. Mais l'UE, qui a toujours rejeté ces accusations, est restée ferme. Les grandes plateformes US ont donc sans doute du souci à se faire, à l'instar d'un Facebook qui a déjà eu maille à partir avec les régulateurs nationaux en France, en Espagne, en Allemagne, aux Pays-Bas et encore récemment en Belgique.

Cnil / Privacy