Enjeux

Comme annoncé par Viviane Reding, la Commission européenne a publié le 25 janvier 2012 le projet de règlement sur la protection des données personnelles ayant pour objet de réformer de façon substantielle la réglementation actuelle dans l’Union Européenne. Cette réforme affectera non seulement les entreprises situées en Europe, mais aussi celles localisées aux Etats-Unis ou ailleurs dans monde et qui proposent leurs services en Europe. Le fait que les autorités nationales soient habilitées à infliger des sanctions administratives, pouvant atteindre € 1 million ou 2% du chiffre d’affaires mondial, devrait inciter les entreprises à tenir davantage compte de cette réglementation. L’objectif affiché du règlement est d’adapter le droit de la protection des données personnelles aux pratiques modernes du monde des affaires dans un contexte de progrès technologique constant et de globalisation.

Points-clés du projet de Règlement

Ce projet fera bien entendu l’objet d’analyses détaillées (ainsi que de débats passionnés) et nous sommes à la disposition de nos clients pour examiner sa répercussion sur des problèmes spécifiques ou un secteur d’activité. Cependant, nous pensons qu’il est d’ores et déjà intéressant d’en identifier les points-clés:

• Le projet crée un ensemble unique de règles s’appliquant directement dans chacun des pays de l’Union Européenne en lieu et place des 27 différents droits nationaux applicables aujourd’hui. Un « règlement européen » étant d’application directe à la différence d’une directive qui fait l’objet de transpositions avec des particularités locales. Il est à noter que la Commission a mis en avant le modèle allemand et pour un certain nombre de pays cela va représenter des règles plus restrictives que celles existant à ce jour.

• Les entreprises n’auront comme interlocuteur qu’une seule autorité nationale chargée de la protection des données, à savoir celle du pays de l’Union dans lequel elles ont leur établissement principal. La présidente de la CNIL a d’ores et déjà émis des réserves sur ce point.

• Les formalités seront grandement simplifiées (notamment pour les transferts de données hors de l’Union Européenne) et les déclarations auprès des autorités nationales supprimées.

• En contrepartie, les entreprises devront mettre en œuvre des procédures internes pour assurer la mise en œuvre des principes de protection : audits, registres, études d’impact, prise en compte de la protection des données dès la conception dans les produits et services des entreprises ou « privacy by design » et « privacy by default ».

• Les entreprises auront l’obligation de notifier toute violation grave des données à caractère personnel à l’autorité nationale compétente dans les meilleurs délais (si possible dans un délai de 24 heures).

• Pour la première fois, des obligations spécifiques, assorties de sanctions pécuniaires, seront à la charge des « sous traitants » (à savoir les entreprises qui traitent les données personnelles pour le compte d’autres entreprises, notamment les fournisseurs de solutions « Cloud computing »).

• Dès lors que le consentement est requis afin de procéder au traitement des données, ce consentement devra être explicite.

• Un « droit à la portabilité des données » sera consacré afin de faciliter l’accès et le transfert de leurs données par les personnes concernées.

• Les obligations d’information seront renforcées (et le fait que l’information doit être « facile à comprendre »).

• Les entreprises de plus de 250 salariés devront nommer l’équivalent du CIL « officier de la protection des données ».

• Un « droit à l’oubli numérique» sera crée qui étendra le droit à demander la suppression des données à celles qui sont en ligne sur internet (toujours cependant sous réserve qu’aucun motif légitime ne justifie leur conservation).

• Il est envisagé de réexaminer les principes de « Safe Harbor » conclus entre les États-Unis et l’Union européenne.

• Les autorités nationales de protection des données personnelles verront leurs pouvoirs renforcés et elles pourront infliger des sanctions administratives aux entreprises qui enfreignent les règles européennes. Les sanctions pourront atteindre 2 % du chiffre d’affaires annuel global de l’entreprise, même si, en règle générale, une sanction ne sera pas prononcée dès la première infraction.

• La coopération internationale entre autorités va être renforcée.

Projet de directive

La Commission Européenne a aussi publié un projet de directive relative à la protection des données personnelles traitées aux fins de prévention et de détection des infractions pénales, d’enquêtes, de poursuites et de procédure judiciaire connexes.

Prochaines étapes

Si le projet de règlement est adopté en l’état, la nouvelle réglementation aura un impact majeur pour toutes les entreprises situées en Europe ou ayant une activité commerciale avec une entité européenne. Prochainement, le projet sera examiné par le Parlement européen et le Conseil des ministres, ces institutions sont susceptibles d’apporter des modifications significatives au projet. Il est fort probable que certaines de ces propositions seront adoptées, toutefois, elles n’entreront en vigueur qu’après un délai de deux ans à compter de l’adoption finale du règlement.

Lien vers le texte du projet de règlement

http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf

Lien vers les commentaires de la CNIL

http://www.cnil.fr/la-cnil/actualite/article/article/projet-de-reglement-europeen-la-defense-de-la-vie-privee-seloigne-du-citoyen-1/?tx_