Village de la Justice www.village-justice.com

Le règlement européen sur la protection des données enfin adopté ! Par Marion Barbezieux, Avocat.
Parution : vendredi 22 avril 2016
Adresse de l'article original :
https://www.village-justice.com/articles/Reglement-europeen-sur-protection,21991.html
Reproduction interdite sans autorisation de l'auteur.

Hier qualifiée de « tâche herculéenne », la refonte de la régulation européenne en matière de données personnelles porte désormais l’étiquette « mission accomplie ».

Après quatre années de dur labeur, l’adoption définitive du règlement européen sur la protection des données personnelles, suite au feu vert des députés européens le 14 avril, marque un tournant décisif pour la protection des données en Europe.

La directive de 1995 sur la protection des données – dont la concomitance avec l’émergence du World Wild Web lui confère un certain caractère archaïque – et le patchwork de législations nationales qui en est résulté laissera désormais place à un cadre juridique unique, applicable dans l’ensemble des États-membres de l’Union européenne.

Gage de sécurité juridique et de protection élevée des données personnelles, le règlement européen ne néglige aucun acteur :

Au citoyen, le règlement octroie une maîtrise plus effective de ses données personnelles au moyen d’un renforcement de ses droits.
Au sein du catalogue des droits des individus consacré par le règlement européen figurent ainsi l’incontournable droit à l’oubli – c’est-à-dire le droit de l’individu à l’effacement de ses données personnelles lorsqu’il ne souhaite plus que celles-ci soient traitées, sauf existence d’un motif légitime à leur conservation – ainsi que le droit de transmettre facilement ses données personnelles à un autre fournisseur de services (par exemple, pour changer de fournisseur de messagerie sans perdre ses précédents courriels), mieux connu sous le vocable « droit à la portabilité ».

Mais le règlement européen permettra aussi aux personnes de mieux contrôler leurs données en leur donnant le droit d’être informés préalablement au traitement de leurs données, en des termes clairs, accessibles et précis – ce qui devrait mettre fin aux politiques de confidentialité en caractères illisibles – et en imposant préalablement à tout traitement le recueil de leur consentement clair et explicite, c’est-à-dire donné de manière active (une case à cocher par exemple).

L’élargissement des droits des individus repose enfin sur la reconnaissance du droit d’être informé en cas de piratage de ses données (via l’obligation de notification des failles de sécurité imposée aux entreprises), l’établissement de limitations claires au recours au profilage (les techniques de profilage ne sont autorisées que si la personne y consent, la loi le permet, et si elles ne se basent pas uniquement sur un traitement automatique de données mais implique une évaluation menée par l’homme), ou encore la consécration d’une protection spécifique pour les mineurs (nécessité d’une autorisation parentale préalable à l’ouverture d’un compte sur les réseaux sociaux).

Les entreprises, quant à elles, bénéficieront du système centralisé mis en place par le règlement européen, qui simplifiera leurs échanges intra-communautaires en leur permettant de n’avoir à faire face qu’à une autorité de surveillance unique, et non 28.
Elles se réjouiront, par ailleurs, de la simplification des formalités et de la mise à disposition d’une boîte à outils de conformité (code de conduite, certifications), mises en place par le règlement.
Elles sont enfin encouragées à faire preuve d’innovation, en développant des technologies dont les fonctionnalités sont conçues de manière à protéger les droits des individus et notamment à ne collecter que les données indispensables au regard des finalités poursuivies, conformément au principe de Privacy by Design (« protection de la vie privée dès la conception ») consacré par le règlement.

Aux autorités de protection, le règlement européen confère un pouvoir de sanction plus important, en leur donnant la possibilité de prononcer des sanctions administratives pouvant atteindre 4% du chiffre d’affaires mondial de l’entreprise en cause.
Le règlement européen entend également renforcer l’intégration et la coopération entre les autorités de protection. Pour ce faire, il prévoit que ces dernières pourront prendre des décisions conjointes (visant par exemple, à prononcer une sanction, ou à déclarer un organisme conforme). Mais surtout, il instaure un nouvel organe européen indépendant, successeur du G29, chargé d’arbitrer les différends entre les autorités et d’élaborer une doctrine européenne : le Comité européen de la protection des Données (CEPD).

L’entrée en vigueur du règlement, qui interviendra 20 jours après sa publication - prochaine - au Journal officiel de l’Union européenne, sonnera le début d’un compte à rebours de deux ans, durée dont disposent les entreprises pour se mettre en conformité avec le règlement. A l’issue de cette période de deux ans, les dispositions du règlement seront effectivement directement applicables dans les États-membres de l’Union. Les entreprises confrontées au défi de la mise en conformité sont donc encouragées à amorcer, dès aujourd’hui, le processus de transition.

Marion Barbezieux Avocat à la Cour SEA AVOCATS marion.barbezieux@sea-avocats.com
Comentaires: