Le Parlement Européen vient d’adopter le règlement européen sur la protection des données, l’aboutissement de quatre années de travail. Il sera applicable en 2018 dans tous les pays membres de l’Union Européenne.
Le “paquet” adopté à Strasbourg comprend un règlement qui définit les droits des citoyens européens vis-à-vis de leurs données personnelles et une directive sur l’utilisation de ces données à des fins policières ou judiciaires.
Droit à l’oubli et droit à la portabilité
L’eurodéputé vert allemand Jan Philipp Albrecht, rapporteur du règlement pour le Parlement européen, a salué l’aboutissement d’une “tâche herculéenne“, ce dossier faisant l’objet de discussions depuis quatre ans. La nouvelle législation européenne sur la protection des données personnelles constitue selon lui une “situation gagnant-gagnant pour les marchés aussi bien que pour les consommateurs et les citoyens“. L’un des objectifs de cette réforme est de permettre à tous les citoyens de l’UE de mieux contrôler l’usage de leurs données personnelles sur internet, et de les obtenir sous une forme claire, accessible et compréhensible. Elle doit également faciliter le “droit à l’oubli” sur le Internet et le transfert par l’internaute de ses données entre différents fournisseurs de services (le droit à la portabilité). Les mineurs font également l’objet d’une protection particulière.
Faciliter la vie des entreprises
En remplaçant le patchwork des législations nationales, les nouvelles règles européennes doivent également faciliter la vie des entreprises travaillant dans le secteur du numérique en Europe. Pour la commissaire européenne à la Justice Vera Jourova, les nouvelles dispositions permettront ainsi aux entreprises de “bénéficier entièrement du marché unique numérique“, avec un cadre juridique clair. Les mêmes règles seront applicables aux entreprises européennes et à celles dont le siège se trouve à l’extérieur de l’UE, selon elle.
Dans un communiqué, la Commission Nationale Informatique et Libertés indique pour les entreprises, “il y aura la possibilité d’un interlocuteur unique pour toutes les autorités de protection des données européennes et une mise à disposition d’une boite à outils de conformité dont certains seront nouveaux (ex : code de conduite, certification).” Outils qui pourront être modulés en fonction du risque sur les droits et libertés des personnes (ex : tenue d’un registre, consultation des autorités de protection, notification des failles de sécurité).
En ce qui concerne les autorités de protection, indique la Cnil, leurs compétences sont affirmées « dès lors qu’il existe un établissement sur le territoire de l’Union ou que leurs citoyens sont affectés par le traitement ». Leur pouvoir est également renforcé, et peut être répressif avec la possibilité de prononcer des sanctions administratives pouvant aller jusqu’à 4 % du chiffre d’affaire mondial de l’entreprise concernée. « Surtout, les « CNIL » européennes pourront désormais prononcer des décisions conjointes, aussi bien pour constater la conformité d’un organisme que pour prononcer une sanction. Cette intégration européenne renforcera ainsi la protection des personnes et la sécurité juridique pour les entreprises », indique la Cnil.
Enfin, le G29, qui réunit les CNIL européennes, devient le Comité Européen de la Protection des Données (CEPD) et est en charge d’arbitrer les différends entre les autorités et également d’élaborer une doctrine « européenne ».
Auteur : Juliette Paoli avec AFP