5 minute read
De nouveaux cadres réglementaires
from Data Protection - FR
by EBRC
2016 est marquée par l’adoption de nouveaux cadres assurant une meilleure protection des données personnelles des citoyens européens : d’une part le Règlement et, d’autre part, l’accord « Privacy Shield », relatif au transfert des données personnelles vers les Etats-Unis.
Advertisement
Après plusieurs années de débats, un accord informel est intervenu, le 15 décembre 2015, à l’issue de la Présidence luxembourgeoise du Conseil de l’Union européenne, sur un nouveau Règlement relatif à la protection des données personnelles. Entré en vigueur le 24 mai 2016, il sera d’application le 25 mai 2018.
Parce qu’il s’agit d’un Règlement et non d’une directive, il s’appliquera directement de la même manière dans l’ensemble de l’Union européenne, offrant une réelle dimension au marché unique, et les mêmes droits et garanties à l’ensemble des citoyens. Ce règlement instaure plusieurs grands principes :
• la nécessité d’obtenir un consentement explicite (et non plus implicite) du citoyen pour tout usage déterminé de ses données ; • un accès plus facile pour chaque personne aux données à caractère personnel la concernant ; • le droit à la rectification, à l’effacement des données et à l’oubli ; • l’obligation de notification en cas de fuite de données ; • la collecte des données uniquement autorisée pour servir des « intérêts légitimes » de l’entreprise, dans le cadre de son activité principale ; • des exigences à l’égard de la gestion de la donnée par l’entreprise fondées sur les risques ; • une définition claire de ce qui relève de l’information sensible ; • la nécessité de désigner un délégué à la protection des données ; • un important pouvoir de sanction des Commissions
Nationales de la Vie Privée ; • l’instauration de pénalités substantielles en cas d’infraction grave (jusqu’à 4% du chiffre d’affaires global du groupe auquel appartient la société en défaut) ; • la mise en place d’un guichet unique pour le territoire européen pour les questions et réclamations à l’égard des données personnelles ; • l’introduction du concept de « privacy by design » pour les processus de traitement de la donnée.
Pour les acteurs économiques, la sécurité des données ne sera plus une option, mais une obligation dès la conception d’un processus de traitement de la donnée. Les acteurs, soumis au contrôle des régulateurs nationaux et leurs sous-traitants, solidairement responsables, devront documenter le traitement des données.
Du « Safe Harbor » au « Privacy Shield »
Jusqu’en octobre 2015, le transfert des données des citoyens européens vers les Etats-Unis était régi par un accord UEEtats-Unis, appelé : « Safe Harbor ». La Cour de Justice de l’Union européenne a invalidé celui-ci en octobre 2015 en estimant, entre autres, qu’ « une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée ».
Un nouvel accord a dû être négocié en urgence. En effet, plus de 4.000 entreprises s’appuyaient sur « Safe Harbor » pour transférer des données personnelles depuis l’Europe vers les Etats-Unis. La Commission européenne et les États-Unis se sont accordés sur un nouveau cadre pour les transferts transatlantiques : le « bouclier vie privée ». Cet accord a fait l’objet d’avis de l’ensemble des Commissions de la Protection des données des 28 pays de l’Union regroupés au sein du « G29 » ainsi que du Parlement européen. De manière générale, de nets progrès ont été réalisés mais des améliorations sont demandées. Les larges possibilités de collecte massive par les autorités américaines, dans le cadre de la lutte contre le terrorisme ou de la protection des intérêts économiques américains, restent une préoccupation majeure pour ces acteurs.
Par ailleurs, le 30 mai 2016, le contrôleur européen de la protection des données, autorité indépendante, a estimé qu’en l’état, le « Privacy Shield » n’est pas suffisamment robuste. Il risquerait donc d’être contesté devant la Cour de Justice, comme l’a été le « Safe Harbor ». Il a indiqué que des améliorations significatives sont nécessaires afin de respecter l’essence des principes de protection des données clefs. En sus, cet accord sera rapidement obsolète vis-à-vis du Règlement général sur la protection des données, plus contraignant que les principes développés dans le « Privacy Shield ». Le nouvel accord prévoit un renforcement du contrôle exercé par le ministère américain du commerce et la Federal Trade Commission (FTC), notamment par une coopération accrue avec les autorités européennes chargées de la protection des données.
Les États-Unis s’engagent en outre à ce qu’en vertu du droit américain, l’accès des autorités publiques aux données à caractère personnel transmises soit subordonné à des conditions, des limites et une supervision bien définies, empêchant un accès généralisé. Les Européens auront la possibilité d’adresser des demandes d’information à un médiateur spécialement désigné à cette fin et de lui soumettre des plaintes.
Plus concrètement, le nouveau dispositif s’appuie sur les piliers suivants :
• Les entreprises américaines qui souhaitent importer des données à caractère personnel provenant d’Europe devront s’engager à respecter des conditions strictes quant au traitement de ces données et garantir les droits des individus.
Le ministère américain du commerce veillera à ce que les entreprises publient leurs engagements, ce qui les rendra opposables au regard de la loi américaine et permettra à la
FTC de contraindre les entreprises à les respecter.
• Les États-Unis ont garanti à l’Union européenne que l’accès aux données par les autorités publiques américaines à des fins d’ordre public et de sécurité nationale sera soumis à une supervision, des limites et des garanties bien définies.
• Tout citoyen qui estime que les données le concernant ont fait l’objet d’une utilisation abusive dans le cadre du nouveau dispositif aura plusieurs possibilités de recours.
Les entreprises devront répondre aux plaintes dans des délais définis.
