Legal insight NPA

Données personnelles : adoption du paquet européen en commission des libertés civiles

Le 17 décembre 2015, la commission des libertés civiles du Parlement européen a adopté à 48 voix (4 voix contre et 4 abstentions), l’accord informel conclu deux jours plus tôt entre le Parlement, le Comité des représentants permanents et le Conseil, sur les deux projets législatifs du paquet : un règlement général et une directive (relative pour l’essentiel à la coopération policière transfrontalière). Le texte sera voté en séance plénière au printemps 2016, avec une entrée en vigueur définitive prévue pour 2018. 

Le règlement remplacera les règles actuellement en vigueur sur la protection des données personnelles qui datent de 1995 (directive 95/46/CE du 24 octobre 1995), aujourd’hui peu adaptées à la montée en puissance d’Internet et des technologies de l’information et de la communication.

Cette réforme vise à donner aux citoyens un contrôle accru sur leurs données, tout en assurant la clarté et la sécurité juridique pour les entreprises sur le marché européen, dans le but de stimuler l’innovation et développer le marché unique numérique.

Pour les individus, les nouvelles règles imposent de recueillir leur consentement explicite, positif et actif au traitement de données privées, par exemple, par l’intermédiaire de cases à cocher (qui ne pourront pas être pré-cochées). Concernant les réseaux sociaux (Facebook, Instagram, Snapchat…), les enfants en dessous d’un certain âge devront obtenir l’autorisation de leurs parents pour créer un compte, avec une flexibilité accordée aux Etats-membres qui peuvent déterminer l’âge limite, entre 13 et 16 ans. Le Conseil (et la France, d’après Le Figaro) avait souhaité imposer cette limite d’âge à 16 ans, qui fût assouplie lors des négociations avec les députés.

Le règlement consacre également le droit à l’oubli sur Internet, c’est-à-dire le droit pour les individus de voir leurs données personnelles effacées des bases de données des entreprises qui les détiennent, à moins que ces dernières n’aient un motif légitime pour les conserver. Les citoyens qui constateraient des violations pourront se plaindre directement auprès des CNIL nationales.

Les entreprises devront quant à elles rédiger leurs politiques de confidentialité dans un langage clair avant de collecter des données, et seront tenues d’informer les autorités nationales de surveillance en cas de piratage de ces données. Elles seront également tenues de désigner un agent de protection des données, et pourront faire l’objet de sanctions pécuniaires pouvant aller jusqu’à 4% du chiffre d’affaire annuel total en cas de violation de ces règles.

Dès le 22 décembre 2015, le G29 (groupe de travail réunissant les CNIL européennes) avait salué cet accord qu’il avait qualifié « d’étape clé pour la crédibilité européenne ». Ses travaux pour assurer une transition constructive et progressive vers ce nouveau régime de protection des données ont d’ores et déjà débuté.

A noter qu’au niveau national, le projet de loi Pour une République numérique porté par Axelle Lemaire, dont l’examen est prévu à l’Assemblée nationale à compter du 12 janvier prochain, pourrait anticiper l’entrée en vigueur de certaines dispositions du règlement (sur le droit à l’oubli pour les mineurs notamment, et le renforcement des pouvoirs de la CNIL).

image_pdfimage_print

Tagged , , ,