En janvier 2012, la commission européenne a proposé une réforme de la directive 95/46/CE sur la protection des données personnelles pour renforcer les droits des citoyens sur leurs données personnelles et booster l’économie digitale de l’Europe.
Le 22 octobre 2013, la commission LIBE du Parlement européen a adopté de nouvelles propositions de règlement et de directive (IP/12/46 et IP/13/57) sous l’influence des différentes affaires concernant les écoutes téléphoniques de la NSA et pour mettre fin à un lobbying « excessif et contre-productif » comme l’a rappelé Viviane Reding, Vice-présidente à la commission Européenne.
Le nouveau « Paquet sur la protection des données » comprend d’abord une nouvelle proposition de règlement européen sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la libre circulation de ces données. Ce règlement doit avoir pour effet d’harmoniser les règles disparates des 28 états membres afin de créer un niveau de protection uniforme assuré par la création d’un « guichet unique » en Europe.
La proposition de directive aura pour objectif spécifique de déterminer les modalités des traitements relatifs à la justice et à la sécurité d’autre part.
Les deux propositions vont maintenant faire l’objet d’une négociation avec le Conseil de l’Europe.
Le Président J-M Barroso à confirmé et souligné que l’objectif était d’obtenir un accord sur le « Paquet données personnelles » avant les élections européennes en mai 2014.
Ce calendrier n’est pas tenable pour beaucoup, de surcroît lorsque l’on sait que lors de la réunion du 6 décembre 2013 entre les différents ministres de la justice de l’U-E à laquelle assistait Viviane Redding, certains des ministres lui ayant apporté un soutien notamment sur la création d’un « guichet unique » remettent aujourd’hui en question jusqu’au fondement même de la réforme, poussant la Vice- présidente de la commission à accuser le Conseil d’hibernation et de recul.
Voici les points majeurs de la réforme.
- Innovations portées par la réforme pour le soutient de l’économie :
- Le principe « un continent, une loi » : Une seule législation relative à la protection des données personnelles devrait remplacer l’ensemble des 28 législations aujourd’hui applicables et uniformiser les standards en la matière.
- Le principe d’un « guichet unique » : Une seule autorité devrait être compétente à l’égard de l’ensemble des entreprises en Europe, et non plus 28.
- Application de la règlementation aux entreprises établies hors-UE : Les entreprises situées en dehors de l’Europe devrons obéir aux standards Européens qu’ils proposent des services aux consommateurs à titre gratuit où payant.
- Sanctions rehaussées : La commission proposait une sanction correspondant à 2% du chiffre d’affaire annuel et 1.000.000 € d’amende au maximum. Les eurodéputés ont cependant voté des sanctions administratives beaucoup plus lourdes en cas de violation du règlement. L’article 79 de la proposition de règlement prévoit graduellement :
- un avertissement écrit pour infraction non intentionnelle ;
- la mise en place d’un audit régulier ;
-Une amende pouvant aller jusqu’à 100.000.000 € où 5% du chiffre d’affaire annuel de l’entreprise.
- Innovations visant à renforcer les droits des citoyens en Europe :
- Un droit à l’oubli : La possibilité pour chacun de s’opposer au traitement de ses données pour l’avenir et de demander la suppression de l’ensemble des données le concernant auprès des responsables de traitement si il n’existe aucun motif légitime de les conserver (par exemple les archives de journaux car ce droit ne peut avoir pour conséquence de réécrire ou effacer l’histoire).
- Cette demande de suppression est étendue aux copies de données et liens vers les données, détenus ou établis par les tiers auxquels des données ont été transférées. Une réserve est prévue se sorte que ce droit n’empiète pas sur la liberté d’expression et le droit à l’information. Ce droit devra être assuré dès lors qu’une autorité judicaire européenne en aura définitivement jugé ainsi.
- Un droit à la portabilité des données : La possibilité pour chacun de demander que ses données soient transférées d’un opérateur vers un autre.
- Un « opt-in » généralisé : Chacun devra pouvoir consentir de façon expresse et explicite au traitement de ses données.
- Le respect du principe « privacy by design » et du principe « privacy by default » : Chaque produit et service devra être fournit en respectant les standards de protection des données personnelles par défaut, par exemple sur les réseaux sociaux.
- Innovations visant à aider les PME :
- Les PME seront exemptées de l’obligation de désigner un correspondant informatique et liberté dans la mesure où le traitement des données n’est pas leur cœur de métier.
- Elles seront aussi exemptées de déclaration à la CNIL (ce qui génèrerait une économie globale de 130 million d’euros par année).
- Les PME pourront demander à leur clients de payer des frais lorsque l’accès à leurs données est demandé de façon excessive voir répétitive.
- Enfin elles ne seront soumises à aucune évaluation d’impact en cas de risque spécifique.
- Soumises à des règles plus souples selon leur tailles, elles ne seront, par exemple, pas sanctionnées en cas de violation non intentionnelle d’une règle relative à la protection des données à caractère personnel pour la première fois.
- Le communiqué de la Commission européenne en date du 22 octobre 2013 donne un exemple concret des effets escomptés de la réforme en faveur des PME : Une petite entreprise espagnole veut étendre ses activités en Italie. Les coûts en matière de développement d’activité pour ajuster le business model à celui de l’Italie pourra comprendre les frais de déclaration y afférent et un avis juridique préalable relatif à la législation de ce pays. Par exemple l’Espagne ne facture pas de frais de notification préalable au traitement de données tandis que l’Italie facture le traitement 150€. Ce sont ces coûts que la réforme veut supprimer et uniformiser pour favoriser le développement transfrontalier des PME.
