Assurer une véritable circulation des données personnelles au sein de l’Union européenne tout en garantissant une protection effective de celles-ci dans un environnement désormais numérique : tel est l’objectif de la proposition de règlement de la Commission révisant la directive relative à la protection des personnes physiques à l’égard du traitement des données personnelles et sur la libre circulation de ces données (95/46/CE). Vu par Europolitique, le texte impose notamment de nouvelles obligations aux responsables du traitement des données ⁽¹⁾ pour atteindre cet objectif.

Cette proposition, qui sera présentée par la Commission le 25 janvier, vise non seulement à relever les défis en matière de protection des données que posent l’environnement numérique, le développement constant de nouveaux outils technologiques et la mondialisation, mais aussi à mettre sur pied un cadre européen mieux harmonisé.

La Commission devrait également proposer un projet de directive révisant la décision-cadre (2008/977/JAI) adoptée en novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.

DROIT À L’OUBLI

Parmi les nouveautés introduites, l’institution d’un droit à l’oubli et à l’effacement. Celui-ci confèrerait aux individus le droit de faire disparaître leurs données à caractère personnel. Par exemple, lorsqu’une personne veut supprimer une photo qu’elle a publiée sur un réseau social.

Selon le projet de texte, ce droit devrait être appliqué par les responsables du traitement, lorsque : 1. les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou traitées, 2. la personne concernée retire son consentement au traitement de ses données dans les cas où celui-ci est exigé, 3. le traitement n’est pas conforme au règlement ; 4. la personne émet une objection conformément à l’article 17 de la proposition législative qui détaille le droit d’opposition de la personne concernée.

La Commission prévoit néanmoins des exceptions à l’application du droit à l’oubli pour garantir la liberté d’expression ou encore lorsque les données sont collectées à des fins de recherche scientifique, statistique ou historique.

Second élément clé du texte : le droit à la portabilité des données qui confère aux personnes concernées un droit à obtenir une copie des données traitées automatiquement. En outre, lorsque cette personne «  a fourni les données personnelles et que le traitement est basé sur un consentement ou un contrat », celle-ci doit avoir le droit de transmettre ses données personnelles vers un autre fournisseur de service de traitement des données.

Par ailleurs, la Commission impose aux responsables du traitement de fournir des informations sur le traitement des données (motifs de collecte, modalités, le droit de porter plainte) de façon claire et transparente et, en cas de violation des données, d’informer immédiatement l’autorité de contrôle et surtout les personnes concernées.

Le projet de règlement améliore aussi le droit de porter plainte, le droit à un recours juridictionnel contre les décisions de l’autorité de contrôle, du responsable du traitement des données, des sous-traitants, ou encore les règles communes concernant les procédures judiciaires.

CIRCULATION DES DONNÉES

Parallèlement, dans le but de faciliter la circulation des données au sein de l’Union et, plus largement, de renforcer la dimension « marché intérieur » de la protection des données, sont proposées différentes mesures visant à remédier à la fragmentation du cadre juridique européen en la matière. Car pour l’heure, les entreprises doivent la plupart du temps tenir compte des 27 législations et obligations nationales lorsqu’elles effectuent des activités de traitement des données. Aussi, pour les entreprises qui sont établies dans plusieurs États membres, la Commission propose que soit responsable des activités de traitement des données effectuées dans les différents États l’autorité de contrôle des données de l’État membre dans lequel la société a son principal établissement.

L’institution entend également réduire les charges administratives et financières en proposant, notamment, de supprimer les exigences générales de notification imposées aux responsables du traitement conformément à la Directive 95/46/CE. Toutefois, afin de garantir une protection des données effective, l’institution préconise la mise en oeuvre de procédures et de mécanismes qui se concentrent sur les opérations de traitement présentant des risques spécifiques. «  Dans ces cas, une évaluation d’impact de la protection des données doit être menée par le responsable (du traitement des données) ou le sous-traitant », selon les termes du projet de règlement.

DES SANCTIONS DÉFINIES

Enfin, la Commission n’hésite pas à définir les sanctions que doivent prendre les autorités de contrôle en cas d’infractions administratives. Il est notamment proposé que lesdites autorités imposent une amende d’un montant variant de cent à un million d’euros à toute personne qui, intentionnellement ou non ne respecte pas 25 dispositions du règlement. Lorsque, par exemple, l’information fournie aux personnes concernées est incomplète, le traitement de données n’est pas conforme aux mesures visant à interdire le profilage ou encore si les personnes concernées ne sont pas informées en cas de violation de leurs données. Lorsque ces infractions sont commises par une entreprise, le montant de l’amende peut s’élever jusqu’à 5 % de son chiffre d’affaires annuel mondial.

Le texte impose notamment de nouvelles obligations aux responsables du traitement des données
⁽¹⁾ Un responsable du traitement est une personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel.