Close
  • Français
  • English

03/06/2013Le futur règlement européen sur la protection des données à caractère personnel – Quels obstacles à sa mise en œuvre effective ? [Par Hugo Lemarchand, CEIS]

Récemment, la CNIL et cinq autres de ses homologues européennes ont agi de concert contre le géant de l’internet Google concernant la gestion des données de ses utilisateurs[1]. La question des données à caractère personnel est récurrente et suscite beaucoup de débats[2] : 70% des citoyens européens sont préoccupés par le fait que leurs données puissent être utilisées à des fins autres que celles prévues initialement et 62% ne donnent que le minimum d’informations nécessaire[3]. De cette problématique, le Gouvernement en a fait une de ses priorités dans sa feuille de route numérique.

L’Union européenne s’est aussi saisie de cette question et a entamé une réforme du cadre juridique européen de la protection des données. La précédente directive européenne en la matière datait de 1995[4] et ne répondait plus aux évolutions actuelles. Dès 2010, la Commission soulignait l’importance de renforcer les droits des citoyens en matière de vie privée et de moderniser le cadre juridique pour tenir compte des défis liés aux nouvelles technologies et à la mondialisation[5]. Les institutions européennes ont toutes convergé dans ce sens[6]et le Parlement européen a ainsi présenté le 25 janvier dernier un projet de règlement[7] portant sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de celles-ci.

Preuve de l’importance de ce sujet, les données échangées par les utilisateurs, et dont les acteurs se servent pour monétiser leurs services, sont considérées comme « l’or noir du XXIème siècle » et représenteraient près de 1000 milliards € en Europe[8].

Le contenu ambitieux du futur règlement européen concernant la protection des données est-il réalisable ? Quels seront les obstacles à sa mise en œuvre effective ?

Les trois piliers du projet de règlement européen : rappel

[list style=’check’]

[list_item]

La suppression des obligations administratives considérées inutiles, notamment celles en matière de déclaration incombant aux entreprises, ce qui représentera pour ces dernières une économie annuelle conséquente puisqu’estimée à 2,3 milliards €. Cependant, le règlement prévoit d’imposer davantage d’obligations aux entités procédant au traitement de données à caractère personnel et d’accroitre par la même occasion leur responsabilité. La principale conséquence de cette réforme est l’obligation pour les entreprises de notifier dans les meilleurs délais à l’autorité de contrôle nationale du pays sur le territoire duquel elles exercent leur activité les violations graves de données à caractère personnel. [/list_item]

[list_item]

Le deuxième axe envisagé clarifie les procédures devant autorités nationales chargées de la protection des données. Pour les entreprises, il n’y aura plus qu’une seule autorité chargée de la protection des donnéesdans chaque pays de l’Union, celle du lieu d’établissement du responsable du traitement des données[9]. En outre, les entreprises devront désigner des correspondants informatique et libertés et mettre en œuvre des procédures internes pour assurer la mise en œuvre des principes de protection. Les citoyens pourront quant à eux déposer une demande devant l’autorité de contrôle de leur Etat de résidence, y compris pour des données traitées par une entreprise située hors du territoire de l’Union,  mais l’autorité compétente pour traiter la requête sera celle où se situe l’établissement principal de l’entreprise concernée[10].[/list_item]

[list_item]

Enfin, le règlement consacre également deux droits à destination des citoyens de l’UE : le droit à l’oubli et le droit à la portabilité des données.[/list_item]

[/list]

[box style=’doc’] L’importance portée à ce sujet est soulignée par l’instrument juridique utilisé. En effet, le règlement européen est d’application directe dans l’ensemble des Etats membres de l’Union européenne et n’a donc pas besoin d’être transposé contrairement à la directive. L’Union européenne a donc fait délibérément le choix d’une une meilleure harmonisation des règles de protection des données personnelles en vue d’en renforcer l’effectivitéUn fois ce règlement adopté et publié, il sera applicable dans tous les Etats membres dans un délai de deux ans. Un délai d’adaptation qui apparait relativement court pour les entreprises. [/box]

___________

Sources :

[1] http://www.cnil.fr/linstitution/actualite/article/article/regles-de-confidentialite-de-google-six-autorites-europeennes-lancent-le-meme-jour-une-act/.
[2] En 2012, la CNIL a reçu un nombre de plaintes concernant les données à caractère personnel en hausse de 5% par rapport à 2011
[3] Special Eurobarometer 359, Attitudes on Data Protection and Electronic, décembre 2010
[4] Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JOCE n° L 281, 23 nov. 1995 p. 31)
[5] Commission européenne, communiqué IP/10/1462, 4 novembre 2010 et communiqué MEMO/10/542, 4 novembre 2010.
[6] Parlement européen, 2011/2025(INI), 6 juillet 2011, sur une approche globale de la protection des données à caractère personnel dans l’Union européenne et Conseil de l’UE, conclusions relatives à la communication de la Commission au Parlement européen et au Conseil intitulée “Une approche globale de la protection des données à caractère personnel dans l’Union européenne”, 24-25 février 2011.
[7] Parlement européen et Conseil de l’UE, proposition de règlement, COM(2012) 11 final, 2012/0011 (COD), 25 janvier 2012.
[8] http://www.lejdd.fr/Medias/Internet/Actualite/Numerique-l-appel-des-32-593309
[9] Article 51 du projet de Règlement
[10] Article 75 du projet de Règlement

Pages: 1 2 3 4 5