Cadre juridique européen relatif à la protection des données à caractère personnel

Logo Union Européenne

La Commission européenne a proposé une vaste réforme du cadre juridique européen relatif à la protection des données à caractère personnel.
“Les propositions visent à renforcer les droits des personnes en matière de protection des données à caractère personnel et de libre circulation de ces données, et à relever les défis de la mondialisation et des nouvelles technologies”.

La directive 95-46 fixait le cadre d’une Europe unifiée en terme de protection des données à caractère personnel. Mais, malgré la transposition de cette Directive dans l’ensemble des pays de l’UE, subsistaient jusqu’ à présent beaucoup de différences entre pays européens.

Le Projet de Règlement Européen renforce à présent les droits des citoyens en matière de protection des données à caractère personnel. Le Règlement Européen est un acte juridique de portée générale qui, contrairement aux Directives, est directement et entièrement obligatoire dans tous les états membres de l’UE. 

Son objectif est le suivant: chaque ressortissant européen doit bénéficier de la même protection de ses données à caractère personnel. Il s’agit d’établir de la confiance chez les utilisateurs dans les traitements de leurs données personnelles, les échanges, la restitution, et les contrôles de leurs données.
 

Ce projet de Règlement Européen reprend tous les principes fondamentaux de la Directive 95-46 et, clarifie les règles relatives au recueil du consentement de l’utilisateur et l’exercice de ses droits.

Il énonce trois grands principes :

  • Le droit à l’oubli
  • Le principe du minima
  • Le formatage et la remise des données sous un format permettant d’être ré-utilisables

Le droit à l’oubli numérique
Il s’agit d’une décision de la Cour de Justice de l’Union européenne qui consacre l’application au moteur de recherche de Google, comme à tout traitement automatisé de données à caractère personnel, du régime de protection des données à caractère personnel. La CJUE a jugé que les informations et liens hypertexte relatifs à des pages web contenant des données personnelles devraient, sur demande d’un utilisateur, être supprimées si elles apparaissent inadéquates, pas ou plus pertinentes ou excessives au regard des finalités de l’indexation.

L’exploitant du moteur de recherche, saisi directement d’une telle demande, devrait alors examiner son bien-fondé au regard des critères énoncés par la CJUE, en analysant :

  • la nature des informations traitées, les finalités et la durée « proportionnée » de leur traitement (critères issus de la Directive 95/46) ;
  • la sensibilité de ces informations par rapport à la vie privée du demandeur et l’intérêt prépondérant du public, selon le rôle joué par la personne concernée dans la vie publique (critères dégagés par la CJUE).

Si l’exploitant du moteur de recherches ne donnait pas une suite favorable à une demande de désindexation, tout ressortissant européen pourrait alors former un recours devant l’autorité nationale de protection des données personnelles ou devant l’autorité judiciaire de son pays de résidence.
Le droit à l’oubli numérique est le droit le plus controversé, entre des impératifs de sécurité, sociaux, commerciaux, de devoir de mémoire de l’histoire et de liberté d’expression.

Principe de minima:
L’UE a souhaité avoir une approche différente de l’approche américaine, en fixant un haut niveau de protection des données à caractère personnel dans tous les pays de l'UE.

Il s’agit du principe selon lequel ” A priori, les données sont utilisées de façon anonyme. On n’utilise des données nominatives que par exception, et seulement après avoir justifié que l’on ne peut pas atteindre les mêmes buts en procédant d’abord par l’anonymisation des données.”
Ce principe de minima, en fixant un haut niveau de protection des données à caractère personnelle, a pour objectif de créer de la confiance au niveau des traitements informatiques effectués sur ces données.

Principe de formatage et de remise des données sous un format permettant d’être ré-utilisables:
Selon ce principe, toute personne concernée doit pouvoir retrouver auprès d’un responsable de traitement la copie de ses données, et ce dernier a l’obligation de lui remettre ses données dans un format facilement lisible et ré-utilisable.

Les conséquences de l’application de ce projet de Règlement Européen sur les entreprises:  ce règlement prévoit, pour les entreprises de plus de 250 effectifs, la simplification de leurs formalités administratives, mais un plus grand nombre d’obligations.
Parmi ces obligations, l’obligation d’accountability: ces entreprises devront mettre en place des procédures internes pour assurer la mise en oeuvre des principes de protection des données : audits, registres, …
Le responsable des traitements deviendra responsable d’une réalisation et devra prendre en compte les principes de protection des données personnelles dès la conception des produits ou des services des entreprises concernées. Toutes les applications devront être documentées de telle manière que le responsable des traitements prouve à l’autorité de régulation que l’ensemble des obligations de la Loi Informatique et Libertés ont bien été mises en place.

Selon cette nouvelle approche de la gestion des données à caractère personnel, la conformité à la Loi Informatique et Libertés devient une obligation de preuve qui repose sur le responsable de traitement.
Le principe de contrôle ex-post disparaît : ces entreprises devront mener au préalable des études d’impacts des risques, et élaborer un programme de gestion des difficultés en cas de survenance des risques, notamment pour des applications à risques, sensibles ou stratégiques.
De même, elles devront anticiper les violations des obligations de sécurité et devront prévenir l’autorité de protection des données à caractère personnel, en cas de violation de sécurité ou lorsqu’un directeur général aura connaissance d’une faille de sécurité au sein des systèmes d’informations.

Enfin, le projet européen de réforme de la protection des données, dont l’adoption est attendue d’ici 2015, prévoit un renforcement du rôle du délégué à la protection des données (ou CIL en France), notamment pour les organisations traitant de grandes quantités de données ou des données sensibles.* 
Ce règlement fait du Correspondant Informatique et Libertés un acteur central de la conformité des organismes, lequel sera rendu obligatoire dans les les entreprises de plus de 250 employés.

Pour quel rôle ?
Ce correspondant Informatique et Liberté deviendra indispensable aux responsables de traitements pour mettre en pratique les principes d’ «accountability » et « privacy by design » dans l’Union européenne. Son rôle ainsi que l’étendue de ses responsabilités seront très certainement amenés à s’accroître avec ce nouveau Règlement.
Gardien du respect des règles de protection des données à caractère personnel, il ne sera plus seulement responsable de la qualité des systèmes d’informations, mais sera également un  “contrôleur”, chargé à la fois de la surveillance et du contrôle de ces données. Il devra s’assurer que l’ensemble des principes de conformité des traitements des données  personnelles énoncés par la loi Informatique et Libertés ont bien été mis en place à tous les niveaux de l’entreprise.
Il s’agit de permettre aux citoyens européens de considérer que leurs données personnelles qui ont bien été traitées, l’ont été en protection avec ces impératifs de sécurité.
A noter toutefois que les missions et les statuts de ces professionnels de la protection des données, varient selon les législations.

* La directive a été transposée en France en 2004, mais à l’instar d’autres pays, le désignation d’un délégué à la protection des données est facultative.

Source: https://www.youtube.com/watch?v=MFBm1KpXsJ0