Vous êtes ici :

  • Google+
  • Imprimer

Ce règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, contient la nouvelle législation européenne en matière de données personnelles. L’Union a décidé par ce règlement d’uniformiser le droit sur les données personnelles en Europe. Il sera applicable à partir du 25 mai 2018.

En tant que règlement, il s’applique directement sans transposition (presque) dans tous les États membres de l’Union. Il a pour vocation principale d’étendre les droits des citoyens, ainsi que la fonction de contrôle de la CNIL et des autres différentes autorités de protection européennes. Il prévoit de créer une haute autorité le comité européen de protection des données.

Ce règlement permet au citoyen de disposer d’informations complémentaires sur le traitement de ses données, de les obtenir sous une forme claire, accessible et compréhensible. Le droit à l’oubli est conforté et un nouveau droit, le droit à la portabilité, est prévu, rendant ainsi plus effective la maîtrise de ses données par la personne. Les mineurs font également l’objet d’une protection particulière.

Droit d’être informé dans un langage simple et clair (articles 12, 13 et 14 du règlement)

Les députés ont insisté pour que les nouvelles dispositions mettent fin aux politiques de vie privée « illisibles » tellement elles sont écrites en petits caractères. Avant la collecte des données, les informations sur cette collecte doivent être fournies dans un langage clair et simple. La personne ne doit pas être abusée sur son engagement qui doit être distinct des questions dont elle pourrait avoir à répondre par ailleurs.

Le consentement doit être clair et explicite.

Pour chaque traitement de données, le consommateur devra donner explicitement son consentement qui ne pourra pas se déduire de son silence.

La personne concernée doit donner son consentement clair et explicite (donc de manière active) au traitement de ses données privées. Il doit par exemple cocher une case lors de la visite d’un site Internet ou effectuer une autre action ou faire une déclaration indiquant l’acceptation du traitement proposé des données personnelles. Le silence, des cases cochées par défaut ou l’inactivité ne peuvent pas constituer un consentement valable. Par ailleurs l’accord de la personne ne saurait être déduit de son comportement. À l’avenir, une personne peut également plus facilement revenir sur son consentement. L’article 7 prévoit : « Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat. » Ainsi le consentement ne serait pas valable si la personne a été poussée à le donner pour bénéficier de l’exécution d’un contrat. Le législateur Européen veut que le consentement de la personne soit libre et éclairé.

Les articles 13 et 14 consacrent également un droit pour la personne de connaître l’identité du responsable de la collecte et toutes informations sur le but poursuivi par celle-ci.

La consécration du droit à l’oubli (article 17 du règlement)

Ce droit au consentement s’accompagne de la consécration du droit à l’oubli. Grâce à ce droit, un individu peut demander le retrait et l’effacement de toute information nuisant à sa vie privée, à moins que le responsable de traitement n’invoque un « motif légitime », qui s’apparente à l’intérêt général. Le règlement oblige aussi les différentes entreprises et organismes à informer le citoyen du piratage de ses données. L’utilisateur pourra donc prendre les mesures nécessaires pour se protéger.

Dans l’application de ce droit, si une personne demande à une entreprise Internet d’effacer ses données, cette entreprise devra également envoyer la demande à toute autre partie qui duplique les données. Le droit des données s’appliquera en effet tant aux responsables de traitement qu’aux sous-traitants, à partir du moment où ils sont établis sur le territoire de l’Union. Cependant, ce droit à l’oubli est limité dans certains cas. Par exemple lorsque les données sont nécessaires à des fins historiques, statistiques ou de recherche scientifique, pour des raisons de santé publique, ou pour l’exercice du droit à la liberté d’expression. Le droit à l’oubli ne s’appliquerait pas non plus lorsque la détention des données à caractère personnel est nécessaire pour la conclusion d’un contrat ou lorsque la loi l’exige.

La protection des mineurs (article 8 du règlement)

Les services en ligne doivent obtenir le consentement des parents des mineurs de moins de 16 ans avant leur inscription.

Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques et des conséquences liés au partage de leurs données. Comme ils peuvent être moins conscients de leurs droits liés au traitement des données à caractère personnel.

Aussi, les nouvelles règles prévoient des garanties spéciales pour les enfants dans certains domaines.

Pour ce faire, le règlement pose les bases d’un encadrement des données personnelles des enfants de moins de 16 ans. Ceux-ci devront désormais obtenir une autorisation parentale pour s’inscrire sur les différents réseaux sociaux comme Facebook, Instagram ou Snapchat. Cette innovation paraît logique, si bien que la plupart des États européens s’étaient déjà dotés d’une législation similaire. Le règlement permet aux États une possibilité de baisser la limite d’âge jusqu’à 13 ans, à l’appréciation de chaque État.

Les enfants de moins de 16 ans devront obtenir l’accord de leurs parents ou de leur tuteur légal avant toute inscription sur un service en ligne qui collecte leurs données personnelles. « Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans. » La limite était jusqu’à présent de 13 ans, comme aux États-Unis. Ce seuil flexible est un compromis conclu pendant les négociations afin de permettre aux États membres de maintenir les règles déjà en place à l’heure actuelle.

Le règlement dispose que dans le cas où le consentement de la personne est nécessaire pour collecter ses données, ce consentement n’est réputé acquis que si l’enfant de moins de 16 ans a obtenu l’autorisation des dépositaires de l’autorité parentale. L’entreprise qui collecte les données, dit l’article 8 du règlement, « doit faire des efforts raisonnables pour vérifier » « en prenant en compte la technologie disponible » que les parents ont bien approuvé cette collecte.

Le Parlement aurait préféré que la limite d’âge pour l’autorisation parentale soit fixée à 13 ans dans l’ensemble de l’UE (soit la même limite que celle proposée à l’origine par la Commission européenne).

L’objectif de cette disposition est de protéger les enfants contre la pression les poussant à partager leurs données personnelles sans en réaliser pleinement les conséquences.

De plus, les règles précisent que les enfants en dessous de la limite d’âge n’auront pas à demander à leurs parents la permission d’utiliser des services de conseil ou de prévention offerts directement à leur intention. Le consentement du titulaire de la responsabilité parentale ne devrait pas être nécessaire dans le cadre de services de prévention ou de conseil proposés directement à un enfant.

Les actions de groupe et une protection étendue quel que soit le lieu de la violation

Le règlement ouvre également la voie à la « class-action », à l’action de groupe, à l’action collective en cas de violation de données personnelles. L’action de groupe permet à des justiciables qui ont subi les mêmes préjudices de se regrouper dans une action en justice commune et ainsi d’être plus forts pour faire valoir leurs droits.

Par ailleurs et c’est là un point important, les citoyens pourront dorénavant saisir l’organisme de leur propre État, quel que soit le lieu d’établissement de l’entreprise de traitement, pour n’importe quelle violation. Les autorités de protection se voient aussi dotées d’un pouvoir de sanction administrative agrandi. Ils pourront ordonner la rectification ou l’effacement des données aux entreprises de traitement des données.

Les autorités de protection pourront infliger des amendes administratives pouvant être comprises entre 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise.

Enfin, les différentes autorités de protection européennes, (comme la CNIL en France), auront aussi un devoir de coopération lors d’opérations transnationales, c’est-à-dire lorsque le traitement concernera les citoyens de plusieurs États membres. Il y aura dans le cadre de chaque opération une « autorité en chef » qui définira la conduite à suivre par les autres autorités de protection. Les décisions seront prises conjointement. Par ailleurs le règlement crée une autorité européenne qui en cas de conflit avec l’autorité nationale pourra se prononcer en tant que juridiction d’appel. La personne qui serait confrontée à un refus de son autorité nationale exemple la cnil pourra faire un recours devant le comité européen de protection des données.

Le règlement a aussi pour vocation de sensibiliser les entreprises qui traitent les données. Pour les responsabiliser le règlement leur impose de désigner un délégué à la protection des données qui a pour rôle la mise à jour des protections pour qu’elles répondent aux exigences européennes.

Il est également prévu donc, la création d’un organe européen indépendant le comité européen de protection des données qui aura comme fonction d’assurer sur le territoire de l’union, l’uniformité du droit de la protection des données et qui pourra prendre des décisions contraignantes pour les différentes autorités nationales propres à ces domaines. Il donnera aussi des avis à la Commission Européenne.

Droit de transmettre les données personnelles d’un individu à un autre fournisseur de services (article 20)

Grâce aux nouvelles règles, les citoyens européens peuvent également contrôler leurs données personnelles.

Désormais la personne peut récupérer les données communiquées à une plate-forme et les transmettre à une autre (réseau social, fournisseur d’accès à internet, site de streaming, etc..)

Toute personne jouit du droit à la "portabilité des données" afin que les individus puissent transmettre plus facilement des données à caractère personnel entre fournisseurs de services. Ce droit permet par exemple à un utilisateur de changer de fournisseur de messagerie électronique sans perdre ses contacts ou ses courriels. Les individus peuvent ainsi mieux contrôler leurs données.

Droit d’être informé en cas de piratage des données (articles 33 et 34)

Les entreprises et organisations sont tenues d’informer sans délai l’autorité de surveillance nationale en cas de violation grave des données afin que les utilisateurs puissent prendre les mesures appropriées.

Limitations claires au recours au profilage (article 21)

Les nouvelles dispositions fixent des limites au profilage qui est une technique utilisée pour analyser ou prédire les performances d’une personne au travail, sa situation économique, sa localisation, sa santé, ses préférences, sa fiabilité ou son comportement grâce au traitement automatique de ses données personnelles.

Conformément au règlement, le profilage est, en règle générale, uniquement autorisé si la personne concernée donne son consentement, si la loi le permet et s’il est nécessaire à la conclusion d’un contrat. Les députés ont également précisé que le profilage ne devrait pas entraîner de discrimination ou se baser uniquement sur des données sensibles (telles que les données révélant, entre autres, l’origine ethnique, les opinions politiques, la religion, l’orientation sexuelle, les données génétiques ou biométriques, des sanctions administratives ou des suspicions).

De plus, le profilage ne devrait pas se baser uniquement sur le traitement automatique des données. Il doit comprendre une évaluation menée par l’homme, incluant une explication de la décision conclue après un tel examen. (Ce système pourrait par exemple influer sur la manière dont la solvabilité est évaluée.)

Le respect de la vie privée devient une norme

Les entreprises sont appelées à concevoir des fonctionnalités par défaut et des produits de sorte à collecter et traiter le moins possible de données à caractère personnel. La « protection de la vie privée » devient un principe essentiel. Le règlement encourage les entreprises à innover et à développer de nouvelles idées, méthodes et technologies pour la sécurité et la protection des données personnelles.

En conclusion ce texte permet à la personne de bénéficier de plus de lisibilité sur ce qui est fait de ses données et elle peut exercer ses droits plus facilement (droit d’accès, droit de rectification). En cas de problème, elle peut s’adresser à l’autorité de protection des données de son pays, quel que soit le lieu d’implantation de l’entreprise qui traite ses données. Ce qui paraît être une réelle avancée pour la protection des personnes. Elle peut demander à ce qu’un lien soit déréférencé d’un moteur de recherche ou qu’une information soit supprimée s’ils portent atteinte à sa vie privée.

Pour les professionnels

Le règlement européen simplifie les formalités administratives. Il permet aux entreprises de disposer d’un interlocuteur unique auprès des autorités de protection des données européennes. Il prévoit de nouveaux outils tels que les codes de conduite ou la certification. Les mesures à mettre en place pourront être modulées en fonction du niveau de risque sur les droits et libertés des personnes.

Recherche avancée