Ce qu’il faut retenir des directives européennes en matière de protection des données personnelles

Un ensemble de règles sur la protection de la vie privée est en train d’être appliqué, pour la première fois, de façon uniforme pour les entreprises européennes.

Ces nouvelles dispositions imposeront la mise en place d’une procédure de notification immédiate en cas de violation de ces règles ou de toute utilisation non autorisée de données à caractère personnel. Il s’agira de la première mise à jour de la réglementation concernant la protection des données personnelles qui date de 1995.
Les propositions ont pour but d’augmenter significativement les pouvoirs punitifs de l’UE concernant les acteurs qui facilitent l’utilisation frauduleuse des données personnelles, ou qui vendent sans autorisation les données d’utilisateurs à des tiers. Elles ont aussi pour but de protéger les informations détenues par les réseaux sociaux et les services de Cloud Computing.

1/ Ainsi, les entreprises auront 24 heures pour notifier toute violation aux autorités chargées de la protection des données et aux parties concernées. Les nouvelles règles, s’appliquant aux filiales internationales des entreprises européennes, devront renforcer de façon globale la protection des données personnelles détenues par les entreprises. Ces règles devraient donner à l’UE des pouvoirs similaires à ceux dont elle bénéficie en matière de droit de la concurrence, où elle peut imposer des amendes allant jusqu’à 10 % du chiffre d’affaires en cas de violation.

2/ Au cours d’une réunion entre les membres de la Commission Européenne et le Ministère du Commerce américain, Vivian Reding (Vice Présidente et Commissaire européen chargée de la Justice, des droits fondamentaux et de la citoyenneté) a proposé que les Etats-Unis adoptent la même approche que l’Europe, c’est-à-dire une politique plus stricte. Selon elle, l’objectif est d’aboutir à une convergence des régulations. Vivian Reding est même allée jusqu’à proposer qu’un accord soit conclu concernant la langue de rédaction des lois respectives régulant l’utilisation des données personnelles par les fournisseurs Internet et de contenu. Selon elle, c’est à Washington de s’adapter aux normes de références déterminées par l’UE. L’idéal serait donc que les entreprises américaines ayant une activité économique en Europe mettent en place des dispositifs leur permettant d’être aux normes européennes.

3/ Le Safe Harbor, entre les Etats-Unis et l’UE, a été mis en place afin que les entreprises américaines soient en accord avec la réglementation européenne concernant la protection des données. Ce programme permet aux entreprises américaines certifiées de traiter des données personnelles européennes, bien que les Etats-Unis n’aient pas une réglementation conforme aux exigences européennes. Les 7 principes fondamentaux de la directive européenne sont repris par le Safe Harbor qui sont : (1) la notification, (2) le principe de l’option de retrait, (3) la possibilité de restrictions sur les transferts ultérieurs, (4) la sécurité de la protection des données, (5) la préservation de l’intégrité des données, (6) le droit d’accès des individus et (7) une application effective.

4/ Une des mesures principales de la nouvelle réglementation est que toute entreprise détenant des données personnelles (dossiers clients, annuaires internes des ressources humaines ou autres) devra se soumettre aux règles et être capable de justifier toute utilisation qui en est faite. Ceci devrait être considéré comme un service essentiel rendu au client et, au final, devrait déjà être mis en place au sein d’une entreprise bien structurée. Un des aspects controversés de cette loi est la mise en place d’un « droit à l’oubli » qui implique qu’une entreprise ne peut conserver les informations dont elle ne se sert plus et qu’elle n’a plus le droit d’utiliser, sous peine d’amende.
Les principes exposés, ci-dessus, mettent en évidence le contraste entre les lois américaines et européennes concernant la gestion des données personnelles. Selon les résultats d’une étude menée en septembre 2011 par Forrester (« Q&A : EU privacy regulations » écritpar Chenxi Wang, Ph. D) la protection des données aux Etats-Unis « …est plutôt favorable aux entreprises, alors que celle de l’UE privilégie la vie privée des individus. Il en résulte une divergence entre les approches des Etats-Unis et l’UE concernant le traitement des données, surtout en matière de transfert de données entre des pays ayant des réglementations différentes ».

Des réserves ont été émises quant au montant maximum des sanctions, celui-ci pouvant aller jusqu’à 5% du chiffre d’affaires. Une grande partie du secteur industriel serait d’accord pour imposer une sanction maximale de 2% du chiffre d’affaires, ce qui aurait déjà un effet dissuasif auprès des entreprises qui pensaient pouvoir échapper aux nouvelles règles et continuer à utiliser leur système de protection de données actuel.
Avec l’obligation de nommer un délégué à la protection des données, la nouvelle loi incite les entreprises à porter leur attention sur des questions devenues essentielles à l’ère numérique, plutôt que de simplement accepter cette réglementation sans en comprendre l’objet.

L’application de ces règles aux pays qui ne sont pas membres de l’UE et qui souhaitent offrir leurs biens et services sur le territoire européen, doit être considérée comme la bienvenue car elle constitue un contrepoids face aux exigences de la loi Sarbanes-Oxley. Il est important que les entreprises américaines ne s’attendent pas à recevoir un traitement de faveur sur le territoire de l’UE.