Quel projet de Règlement européen relatif aux données personnelles en 2015 ?
Ce projet de Règlement européen a été adopté en première lecture au Parlement européen en mars 2014. Il inclut des mesures de protection des données personnelles des citoyens et limite l’utilisation de ces données par les services des renseignements et les entreprises.
Il définit un cadre général au sein de l’Union Européenne pour la protection des données. Il s’agirait de créer un corpus de règles relatives à la protection des données valable dans toute l’Union Européenne.
Voici une synthèse non exhaustive des principaux apports du projet de règlement susceptibles d’impacter la pratique des entités procédant au traitement des données à caractère personnel à partir de 2016 :
I. Champ d’application territorial
Le Règlement devrait s’appliquer que le traitement des données ait lieu ou pas dans l’Union. Il s’appliquerait au traitement des données appartenant à des personnes concernées dans l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées.
II. Principes relatifs au traitement des données
Ces principes devraient être ceux de : i) licéité, loyauté, et transparence ; ii) limitation de la finalité ; iii) limitation des données au minimum ; iv) exactitude ; vi) minimisation de la durée de conservation ; v) effectivité pour la personne d’exercer ses droits ; vi) intégrité, c’est-à-dire protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, et vii) responsabilité.
III. Principe de responsabilité et prise en compte des risques
Innovation importante du projet de Règlement : il remplace les procédures actuelles à base de formalités administratives préalables auprès de l’Autorité de protection des données (la CNIL, en France) par un système d’analyse de risques à réaliser en interne, seuls les projets jugés potentiellement risqués devant être soumis.
Le nouveau principe de « Responsabilité » rendrait obligatoire la documentation de l’ensemble des mesures internes définies et prises par un responsable de traitement ou ses sous-traitants afin d’attester de son niveau de conformité.
Ainsi, il est prévu que chaque responsable du traitement et chaque sous-traitant doive conserver une trace documentaire, régulièrement mise à jour, nécessaire au respect des exigences établies dans le Règlement. En outre, le projet de Règlement prévoit une liste de certaines informations qui devraient être conservées.
Chaque organisme devra être capable de rendre compte à l’Autorité de protection des données, des mesures mises en place en son sein afin de respecter les dispositions légales.
Le responsable du traitement ou, le cas échéant le sous-traitant, devra réaliser une analyse du risque en ce qui concerne les répercussions potentielles du traitement des données prévu sur les droits et les libertés des personnes concernées, tout en évaluant si les traitements sont susceptibles de présenter des risques spécifiques.
Le projet de Règlement dresse la liste des traitements susceptibles de présenter des risques, tels que :
– le traitement de données à caractère personnel de plus de 5 000 personnes concernées sur une période de douze mois consécutifs ;
– le traitement des catégories particulières de données à caractère personnels, des données de localisation, ou des données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur ;
– lorsqu’une violation des données à caractère personnel risque de porter atteinte à la protection des données à caractère personnel, de la vie privée, des droits ou des intérêts légitimes de la personne concernée ;
– la mise à disposition de données à caractère personnel à un nombre de personnes dont on ne peut raisonnablement attendre qu’il soit limité.
En fonction des résultats de l’analyse des risques, le responsable du traitement pourra, notamment, être amené à désigner un délégué à la protection des données, ou à procéder à une analyse d’impact relative à la protection des données.
L’analyse des risques est révisée au plus tard après un an, ou immédiatement si la nature, la portée ou les finalités des traitements sont sensiblement modifiés.
IV. La nomination d’un Délégué à la Protection des Données Personnelles
Le projet de Règlement prévoit que le responsable du traitement devra systématiquement désigner un Délégué à la Protection des Données dans certaines hypothèses, et notamment lorsque :
– le traitement est effectué par une personne morale et porte sur plus de 5 000 personnes concernées sur une période de douze mois consécutifs ;
– les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées ;
– les activités de base du responsable du traitement ou du sous-traitant consistent à traiter les catégories particulières de données visées à l’article 9, paragraphe 1, des données de localisation ou des données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur.
Le responsable du traitement ou le sous-traitant désignent un Délégué à la Protection des Données pour une durée minimale de quatre ans lorsqu’il s’agit d’un salarié ou de deux ans lorsqu’il s’agit d’un prestataire externe.
V. Notifications à l’Autorité de contrôle et à la personne concernée d’une violation de données à caractère personnel
En cas de violation de données à caractère personnel, le responsable du traitement serait tenu d’en adresser notification à l’Autorité de contrôle, sans retard injustifié.
En outre, lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel, à la vie privée, aux droits ou aux intérêts légitimes de la personne concernée, le responsable du traitement, après avoir procédé à la notification à l’Autorité de contrôle, communique la violation sans retard indu à la personne concernée
VI. Conditions de consentement
La personne concernée devrait être informée, en particulier, de l’existence du traitement des données et de ses finalités, de la durée probable pendant laquelle les données seront conservées pour chaque finalité, de la transmission éventuelle des données à des tiers ou à des pays tiers.
Lorsque le traitement des données est basé sur le consentement, le Parlement européen a confirmé que la charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées doit incomber au responsable du traitement.
Les députés ont ajouté que :
– les dispositions relatives au consentement de la personne concernée qui enfreignent partiellement le Règlement seraient entièrement nulles ;
– il devrait être aussi simple de retirer son consentement que de le donner ; la personne concernée devrait être informée par le responsable du traitement si le retrait du consentement peut entraîner la cessation de la fourniture des services ou de la relation avec le responsable du traitement ;
– le consentement serait lié à la finalité et deviendrait caduc lorsque cette finalité n’existe plus ou dès que le traitement des données à caractère personnel n’est plus nécessaire pour la réalisation de la finalité pour laquelle elles ont été initialement collectées.
Seraient interdits, le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les croyances philosophiques, l’orientation sexuelle ou l’identité de genre, l’appartenance et les activités syndicales, ainsi que le traitement des données génétiques ou biométriques ou des données concernant la santé ou relatives à la vie sexuelle, aux sanctions administratives, aux jugements, à des infractions pénales ou à des suspicions ou à des condamnations.
VII. Principes généraux en matière de droits des personnes concernées
Le Parlement européen propose en outre de renforcer, de clarifier, de garantir et, le cas échéant, de codifier ces droits qui devraient être clairs et univoques. Ces droits incluraient notamment :
– la fourniture d’informations claires et aisément compréhensibles quant au traitement des données à caractère personnel ;
– le droit d’accéder à ses données, de les rectifier ou de les effacer ;
– le droit d’obtenir des données ;
– le droit de s’opposer au profilage, c’est-à-dire toute forme de traitement automatisé de données destiné à évaluer certains aspects personnels propres à une personne physique ou à prévoir le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement ;
– le droit de déposer une réclamation auprès de l’autorité de protection des données compétente et d’engager une action en justice ;
– le droit d’obtenir réparation et de percevoir une indemnisation en cas d’opération de traitement illégale.
Ces droits devraient pouvoir en général être exercés sans frais. Le responsable du traitement devrait répondre aux demandes de la personne concernée dans un délai raisonnable.
VIII. Politiques d’information normalisées
Le Parlement européen a introduit un nouvel article stipulant que lorsque des données relatives à une personne concernée sont collectées, le responsable du traitement devrait informer la personne concernée d’une manière visible et facilement lisible et dans un langage aisément compréhensible d’une série éléments d’informations avant de fournir d’autres informations requises par le Règlement.
Ces éléments d’information porteraient sur la question de savoir si les données : i) sont collectées et conservées ou non au-delà du minimum nécessaire pour chaque objectif spécifique du traitement; ii) sont traitées ou non à des fins autres que celles de leur collecte; iii) sont divulguées à des tiers commerciaux, vendues ou louées; iv) sont conservées ou non sous forme cryptée.
Par la suite, le responsable du traitement devrait également fournir des informations relatives à la sécurité et au traitement des données, le cas échéant des informations relatives à l’existence d’un profilage, des informations intelligibles relatives à la logique qui sous-tend tout traitement automatisé, ainsi que des informations indiquant si les données ont été fournies aux autorités publiques au cours de la dernière période de douze mois consécutifs.
IX. Droit à l’effacement
Les députés européens ont renforcé ce droit dans la mesure où la personne concernée pourrait obtenir de tiers l’effacement de tous les liens vers les données à caractère personnel diffusées, ou de toute copie ou reproduction de celles-ci, pour l’un des motifs suivants :
– un tribunal ou une autorité réglementaire basé(e) dans l’Union a jugé que les données concernées doivent être effacées et cette décision a acquis force de chose jugée ;
– les données ont fait l’objet d’un traitement illicite.
Lorsque le responsable du traitement a rendu publiques les données sans aucune justification, il devrait prendre toutes les mesures raisonnables pour procéder à l’effacement de ces données, y compris par des tiers. Il devrait informer la personne concernée, lorsque cela est possible, des mesures prises par les tiers concernés.
X. Profilage
Le Parlement européen a clarifié que toute personne physique devrait avoir le droit de s’opposer au profilage. La personne concernée devrait être informée de son droit de s’opposer au profilage de façon évidente.
Tout profilage ayant pour effet d’instaurer une discrimination fondée sur la race ou l’origine ethnique, les opinions politiques, la religion ou les convictions, l’appartenance syndicale, l’orientation sexuelle ou l’identité de genre devrait être interdit. Le responsable du traitement devrait assurer une protection efficace contre les discriminations pouvant découler du profilage.
En outre, le profilage conduisant à des mesures produisant des effets juridiques pour la personne concernée ne devrait pas être fondé exclusivement sur le traitement automatisé et devrait inclure une appréciation humaine, y compris une explication de la décision prise à la suite de cette appréciation.
XI. Sécurité des traitements
La politique de sécurité devrait inclure la capacité : i) de garantir l’intégrité de la personne concernée; ii) de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement des données à caractère personnel; iii) de rétablir la disponibilité des données et l’accès à celles-ci, dans les plus brefs délais, en cas d’incident.
a) Transferts ou divulgations non autorisés par la législation de l’Union
Un nouvel article stipule qu’aucune décision d’une juridiction d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il divulgue des données à caractère personnel ne serait reconnue ni rendue exécutoire de quelque manière que ce soit (sans préjudice d’un accord international entre le pays tiers demandeur et l’Union ou un État membre).
b) Autorité chef de file
Lorsque le traitement de données a lieu dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant établi dans l’Union, le Parlement a proposé que l’autorité de contrôle de l’État membre où se situe l’établissement principal du responsable du traitement ou du sous-traitant soit l’autorité chef de file responsable du contrôle des activités de traitement des données dans tous les États membres.
XII. Sanctions administratives
Un amendement stipule que l’autorité de contrôle devrait infliger à toute personne ne se conformant pas aux obligations énoncées dans le Règlement l’une au moins des sanctions suivantes :
– un avertissement par écrit lors d’une première infraction non intentionnelle ;
– des vérifications périodiques régulières de la protection des données ;
– une amende pouvant atteindre 100 millions EUR ou au maximum 5% du chiffre d’affaire annuel mondial dans le cas d’une entreprise, le montant le plus élevé devant être retenu.
Si le responsable du traitement ou le sous-traitant est détenteur d’un «label européen de protection des données» valable, l’amende serait exclusivement appliquée dans les cas de manquement de propos délibéré ou par négligence.
Suite à la dernière réunion des Ministres de l’Union Européenne, le 13 mars 2015, ces derniers ont trouvé un compromis sur certains points, tels que le guichet unique et les principes généraux, ouvrant la voie à un accord sur une approche générale de la réforme de la protection des données en juin 2015.
En effet, les Ministres se sont entendus sur une approche générale partielle en se fixant de clôturer la position du Conseil sur ce dossier lors du Conseil JAI du mois du juin 2015, ce qui ouvrirait la possibilité de lancer les négociations en trilogue (Commission / Conseil / Parlement) sous la présidence luxembourgeoise.
La Commissaire européenne en charge de la Justice a exprimé l’espoir de parvenir à un accord en trilogue en 2015.
Blandine Poidevin
Spécialiste des technologies de l’information et de la communication
Cabinet Jurisexpert