Dans le contexte actuel d’accroissement des traitements de données à caractère personnel et d’internationalisation de leurs échanges, cette initiative de la Commission européenne a pour objectif de renforcer l’harmonisation et la simplification des règles applicables dans ce domaine afin d’assurer un équilibre entre une protection adéquate de la protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l’Union Européenne.
Il est notamment proposé :
un droit à l’oubli numérique qui permettrait aux personnes concernées d’obtenir du responsable de traitement la suppression des données les concernant ainsi que l’effacement de tout lien vers ces données ou les copies ou reproductions qui en ont été faites, si aucun motif légitime ne justifie leur conservation. Aujourd’hui en vertu de la Loi Informatique et libertés, seul un droit d’opposition est reconnu au bénéfice des personnes concernées ;
un droit à la portabilité des données dont l’objectif est de faciliter « l’accès des personnes concernées à leurs données » ainsi que « le transfert de données à caractère personnel d’un prestataire de service à un autre » ;
le renforcement des règles de recueil des consentements. Par exemple, dans tous les cas où le consentement des personnes concernées est nécessaire pour procéder au traitement des données, le consentement devra être exprès.
l’obligation pour le responsable de traitement de nommer « un délégué à la protection des données » lorsque (i) « le traitement est effectué par une autorité ou un organisme public » (ii) « le traitement est effectué par une entreprise employant 250 personnes ou plus » ou (iii) les traitements qui de par leur nature, portée et/ou finalités nécessitent un suivi régulier et systématique des personnes concernées ;
le renforcement des sanctions à l’égard des entités ne respectant pas ces règles. A titre d’exemple, les autorités nationales indépendantes chargées de la protection des données à caractère personnel seront habilitées à infliger aux entités contrevenantes des amendes pouvant atteindre un million d’euros ou 2% de leur chiffre d’affaire global ;
l’introduction du critère de l’établissement principal du responsable de traitement pour déterminer l’autorité compétente pour connaître des traitements mis en œuvre sur le territoire de l’Union, pour se prononcer sur les plaintes et/ou l’exercice des droits qui sont reconnus aux personnes concernées ;
la concentration des pouvoirs entre les mains de la Commission européenne en matière de protection des données à caractère personne.
Si l’initiative et les objectifs généraux de ces propositions ont été salués, en France, des réserves ont néanmoins été formulées à l’égard de certaines de ces mesures.
Ainsi par exemple le critère de l’établissement principal, perçu comme une perte de proximité avec les citoyens et favorisant la pratique de « forum shopping », est vivement contesté. De même, le pouvoir accordé à la Commission qui sera compétente pour déterminer les lignes directrices en matière de protection des données à caractère personnel, au détriment des autorités nationales ainsi que la possibilité offerte pour le seul responsable de traitement de déterminer de la pertinence de transferts de certaines données, sont dénoncés.
Ces propositions de règlement et de directive ont été soumises au Conseil de l’Union européenne et au Parlement européen pour être examinées et adoptées.
Rappelons que le règlement, une fois adopté, sera d’application immédiate dans l’ensemble des Etats membres de l’Union européenne sans qu’aucune transposition ne soit nécessaire. Nous ne manquerons pas de vous tenir informés de leur évolution.
