 |
Le projet de nouveau règlement sur les données personnellesPar P. Van den Bulck & C. Dubois [McGuireWoods]Mardi 10.01.12 |
A peine dévoilé par une fuite, le premier projet de règlement européen sur la protection des données personnelles fait déjà couler beaucoup d’encre. En effet, cette version officieuse indique clairement que la Commission européenne n’entend pas se limiter à un simple toilettage du cadre légal existant. Au contraire, l’examen du projet démontre la volonté européenne d’harmoniser le cadre légal, de renforcer les droits des personnes concernées et de rendre le respect de la réglementation plus effectif.
Un besoin d'harmonisation et d'actualisation
La cadre légal européen de la protection des données personnelles a vu le jour avec la directive 95/45/EC du 25 octobre 1995. Aujourd’hui cette directive présente deux inconvénients. Le premier est génétique : de par sa nature, la directive n’est pas applicable directement au niveau national. Chaque État membre l'a donc transposé dans sa propre législation en profitant de certaines libertés. Il en résulte aujourd'hui des divergences notables dans le droit des pays de l'Union. Une situation identique ne sera donc ni abordée ni réglée légalement de la même manière entre, par exemple, l’Italie, l’Allemagne, le Royaume-Uni et la Belgique. En clair, une entreprise présente dans ces quatre pays, jongle avec des textes légaux parfois différents sur certains points, alors que bien souvent cette même entreprise collecte et échange un nombre important de données personnelles via et entre ses différents sièges. Le second inconvénient tient à son âge : la directive est née avant notamment l’avènement des réseaux sociaux et du "cloud computing". Ces éléments, s’ils ne sont pas à eux seuls déterminants dans l’évolution du traitement de données personnelles, traduisent en tout cas l'explosion et la globalisation du traitement de données personnelles durant cette dernière décennie.
Une protection renforcée des personnes concernées par le traitement des données
La protection des personnes concernées par le traitement des données est clairement renforcée, notamment par:
- l’application extraterritoriale : alors que la directive prévoit des critères de rattachement presque physiques pour que la réglementation européenne s’applique, le projet de règlement prévoit une application extraterritoriale du droit européen. Ainsi, les exigences d’un "établissement" ou de "moyens automatisés ou non" sur le territoire de l’Union disparaissent. La réglementation s’appliquera pour tout opérateur qui dirigerait ses activités de traitement vers l’Union, même en l’absence d’établissement dans l’Union ou de moyens localisés sur ce territoire.
- l’explicitation d’un droit à l’oubli : il s'agit du droit de voir ces données supprimées. Ce droit est particulièrement important pour les réseaux sociaux.
- l’introduction d’un droit à la "portabilité" des données : ce droit donne la possibilité à la personne concernée d'exiger que ses données soient détenues dans un format lui permettant de les transférer vers un autre fournisseur de service.
Le projet de règlement prend également position en définissant certaines notions quelquefois discutées :
- la notion de "personne concernée" (c'est-à-dire la personne dont les données sont traitées) est toute personne pouvant être identifiée, directement ou indirectement, par le responsable du traitement lui-même ou par toute autre personne physique ou morale.
- la notion de "consentement" est précisée comme étant l'indication d'une volonté spécifique, éclairée et explicite, donnée librement. Ce consentement ne peut être valable lorsqu’il est donné par un mineur sans l’accord d’un de ses parents ni lorsqu’il est donné dans le cadre d’une relation déséquilibrée de dépendance entre la personne concernée et le responsable de traitement (on pense évidemment à la relation de travail).
Des mesures contraignantes pour les responsables de traitement
Les responsables de traitement devraient se conformer à de nouvelles obligations, comme par exemple :
- la nomination, dans les entreprises de plus de 250 employés, d'un "agent qualifié responsable des données personnelles" ;
- la réalisation, dans certains cas, d'un rapport évaluant l'impact du traitement envisagé sur la protection des données ;
- la conservation de la preuve des politiques et mesures mises en place pour assurer une protection adéquate des données personnelles ainsi que des fichiers relatifs à toutes les opérations de traitement de données effectuées par le responsable du traitement ;
- la notification à l'autorité nationale de protection des données personnelles et dans certains cas à la personne concernée lors de la perte de données.
Des sanctions très dissuasives
Last but not least, des amendes pouvant s'élever jusqu'à 5% du chiffre d'affaires annuel mondial du responsable de traitement pourront être imposées. A bon entendeur…
Paul Van den Bulck (pvandenbulck@mcguirewoods.com)
Avocat Associé McGuireWoods
Chargé d’enseignement aux Universités de Paris II et Strasbourg
Caroline Dubois (cdubois@mcguirewoods.com)
Avocat McGuireWoods
Source : DroitBelge.Net - Actualités - 10 janvier 2012