Une réforme du cadre européen de la protection des données à caractère personnel est annoncée. Voici ce qui va changer
Le 25 janvier 2012, Vivianne Reding, vice-présidente de la Commission européenne, en charge de la Justice, des Droits fondamentaux et de la Citoyenneté, a annoncé officiellement l’adoption par la Commission d’un paquet de réforme du cadre européen en matière de protection des données personnelles et de la vie privée (1). La réforme comprend deux volets :
1- une proposition de règlement fixant le cadre général (2) et remplaçant l’actuelle directive de 1995 (3)
2- une directive s’appliquant aux traitements mis en œuvre à des fins de police et de coopération policière et judiciaire en matière pénale (4).
Quelle analyse peut-on faire des axes principaux de la proposition de règlement fixant le cadre général ?
adapter au monde en réseau
Si les grands principes de la protection des données personnelles ne sont pas remis en cause (5), la réforme vise à adapter la réglementation à la « protection de la vie privée dans un monde en réseau » (6) pour faire face aux nouveaux défis technologiques et à l’importance croissante du volume des données personnelles traitées, collectées selon des modalités de collecte de moins en moins décelables. La réforme était d’autant plus attendue que le manque d’harmonisation des règles ne permet pas aujourd’hui d’assurer de manière satisfaisante la sécurité juridique nécessaire aux acteurs économiques, pas plus que l’effectivité de la protection pour les personnes ou encore la libre circulation des données au sein de l’Union européenne.
1- un cadre unique et cohérent à l’échelle européenne
La nouveauté majeure de la réforme est sans conteste l’introduction d’un règlement au lieu et place de la directive. Le choix de cet instrument juridique va permettre une application directe et de manière uniforme (7) du nouveau cadre législatif dans tous les Etats membres sans qu’il soit besoin d’attendre l’adoption de textes de transposition par les Etats membres. L’unicité des règles devrait de plus permettre d’assurer une sécurité juridique accrue et une coordination rapide et efficace entre autorités nationales chargées de la protection des données.
2- un champ d’application territorial étendu
Le règlement s’appliquera aux traitements de données à caractère personnel conduits par des personnes ou leurs sous-traitants dès lors qu’ils sont établis dans l’Union européenne. Mais il devrait aussi s’appliquer lorsque les traitements sont liés à « l’offre de biens ou services » dans l’Union européenne ou « à l’observation du comportement » de personnes résidant au sein de l’Union européenne. Il s’agit manifestement de permettre l’application de la réglementation européenne aux sociétés internationales établissant des profils ou analysant le comportement de résidents européens.
3- des moyens renforcés pour les citoyens européens
A côté du droit de suppression et du droit d’opposition existant déjà dans le cadre actuel, est consacré un « droit à l’oubli numérique et à l’effacement », comprenant le « droit d’obtenir la cessation de la diffusion des données personnelles », en particulier si ces données avaient été rendues disponibles lorsque la personne était « enfant ». Ce droit renforcé vise à prendre en compte la dissémination des données sur internet et plus particulièrement au travers des réseaux sociaux. Il reporte sur les responsables de la publication de ces données l’obligation d’informer les tiers de la demande d’effacement de liens ou copies vers lesdites données, ce qui peut constituer une charge très importante et coûteuse.
Par ailleurs, un droit à la « portabilité des données » est reconnu aux personnes leur permettant d’obtenir une copie de leurs données sous un format réutilisable, par exemple auprès de leur fournisseur d’accès à internet.
4- simplification et obligations des responsables de traitement
Le futur règlement prévoit la quasi-disparition des formalités préalables et l’instauration d’un principe de « guichet unique » (8) pour les entreprises exerçant leurs activités dans plusieurs Etats membres. Seuls les traitements « à risques » (identifiés comme tels par les responsables de traitement ou par l’autorité de contrôle nationale - la Cnil en France) devraient faire l’objet d’un contrôle préalable prenant à titre principal la forme d’une consultation préalable de l’autorité de contrôle.
Par ailleurs, ces formalités n’auraient à être accomplies qu’auprès de l’autorité de contrôle de l’établissement principal du responsable de traitement où sont prises les principales décisions en matière de traitement de données personnelles. De même, le transfert de données personnelles au sein d’un groupe devrait être facilité par le mécanisme de la reconnaissance des « règles internes d’entreprise » en tant que fondement légal du transfert. De plus, de nouveaux dispositifs, liés notamment à la notion d‘adéquation des règles de protection des données du pays destinataire, devraient permettre d’accroître les cas dans lesquels le transfert de données en dehors de l’Union européenne est autorisé.
Si ces mesures de simplification répondent aux critiques et souhaits exprimés par de nombreux acteurs, la réforme envisagée, qui instaure de nouvelles obligations, est en réalité loin d’alléger la charge des entreprises ou organismes publics.
- Obligation de rendre compte et de conduire des études d’impact. La proposition de règlement introduit un nouveau principe d’« accountability », littéralement « obligation de rendre compte », qui va contraindre les organismes mettant en œuvre des traitements de données (y compris les sous-traitants) d’adopter des mesures appropriées permettant de démontrer de manière active et de justifier de la conformité de leurs traitements, notamment au moyen de la tenue à jour d’une « documentation » sur l’ensemble des opérations de traitement (ie un inventaire), ainsi que par l’obligation de mener, avant tout traitement présentant des risques spécifiques, une « étude d'impact » en matière d'atteinte à la vie privée. Corollaire de ces obligations, tout organisme devra veiller à tenir compte de la protection des données dans la conception des traitements (privacy by design) et respecter un principe de « minimisation » dans la collecte, la conservation et la mise à disposition des données sur la base d’un critère de nécessité devant présider au traitement des données (privacy by default).
- La proposition de règlement comporte, sans surprise, l’obligation de désigner un « délégué à la protection des données » pour les autorités ou organismes publiques, ainsi que par toute entreprise employant 250 personnes ou plus, ou encore lorsque les activités « de base » de l’organisme consistent en des traitements qui exigent «un suivi régulier et systématique des personnes concernées ».
- Est également généralisée l’obligation de notifier les failles de sécurité dans les vingt-quatre heures de leur survenance, en même temps que les remèdes à y apporter, à l’autorité de contrôle et d’en informer les individus concernés.
5- pouvoirs des autorités de contrôle et sanctions
Enfin, le projet de règlement renforce les pouvoirs des autorités de contrôle et durcit le régime de sanctions en fixant notamment un barème progressif d’amendes administratives qui devront être « effectives, proportionnées et dissuasives ». Les sanctions administratives pourront, en fonction de la gravité du manquement à la réglementation, ainsi aller de 250 000 euros (ou 0,5 % du chiffre d’affaires mondial) à 500 000 euros (ou 1 % du CA mondial) ou encore 1 million d'euros (2 % du CA mondial).
Le nouveau cadre ne devrait cependant entrer en vigueur qu’à l’horizon 2016. La proposition de règlement doit encore être adoptée conjointement par le Conseil et le Parlement européen dans le cadre de la procédure de codécision, ce qui n’est pas envisagé avant 2014. Il est de plus prévu dans la proposition de règlement une période de transition de deux ans.
Par ailleurs, il n’est pas exclu que le texte subisse encore d’importants changements, tant du fait du processus législatif que de l’important lobbying entourant la réforme. Les entreprises et les autorités et organismes publics seraient avisées de suivre attentivement l’évolution du processus législatif et se préparer dès à présent à la mise en place du dispositif de responsabilité accru lequel peut nécessiter une préparation longue et sans doute aussi coûteuse.
(1) Voir le paquet législatif sur :ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
Egalement le mini site consacré à la réforme : ec.europa.eu/justice/data-protection/minisite/
(3) Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995, p. 31.
(5) La loi n°78-17 du 6 janvier 1978 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés a été refondue en 2004 à l’occasion de la transposition de la Directive 95/46, mais a maintenu les grands principes de la protection des données personnelles (finalité, proportionnalité, loyauté de la collecte, droit à l’oubli, sécurité des traitements, encadrement des transferts de données en dehors de l’Union européenne…).
(6) « Protection de la vie privée dans un monde en réseau. Un cadre européen relatif à la protection des données, adapté aux défis du XIXe siècle », communication de la Commission du 25 janvier 2012, COM(2012) 9 final, p.9.
(7) Aujourd’hui, les responsables de traitement doivent composer avec 27 législations nationales prévoyant des obligations différentes.
(8) L’instauration d’un « guichet unique » a soulevé en France de vives contestations de la part de la Cnil, mais aussi des parlementaires, qui y voient le risque d’un éloignement des autorités de contrôle pour les citoyens, ainsi que le risque de « forum shopping » qui consisterait pour les organismes responsable de traitement de pouvoir « choisir » l’autorité de contrôle et le droit applicable.
Par Nathalie Metallinos
Avocate, Bird & Bird, responsable de l’atelier « protection des données personnelles » de l’Adij: www.adij.fr