Règlement européen sur la protection des données personnelles : un texte unique… mais non isolé
Le numérique ne bouleverse pas que les business models. Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation. Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd’hui, regard sur le réglement européen pour la protection des données personnelles.
Un texte unique pour harmoniser les règles de protection au sein de l’UE
On a donc bien compris que le Règlement européen sur la protection des données personnelles finalement publié en date du 27 avril 2016 comptabilise déjà pas mal de records : plus de 4 années d’âpres négociations, quelques 3999 amendements entre la version initiale de 2012 et celle du Parlement européen de 2014 …, comprenant 173 considérants (pour expliciter les articles) et 98 articles .
Mais son principal record sera effectivement de permettre l’harmonisation des règles pour la protection des données personnelles au sein de l’Union européenne puisqu’on passe donc à un texte unique d’application directe et uniforme en lieu et place des règlementations nationales actuellement en vigueur au sein des 28 Etats membres.
Attention : la règlementation va donc changer (adieu la loi « Informatique et Libertés ») dans deux ans à compter la publication du texte du Règlement européen au journal officiel (probablement courant mai 2016) …. le compte à rebours est imminent.
Un texte unique aux multiples avantages annoncés
Outre l’harmonisation législative (garantie d’une plus grande sécurité du marché unique européen), les autres avantages mis en exergue par les Institutions européennes ont trait à la modernisation des principes de protection permettant de prendre en compte l’ère numérique (soit plus de 20 ans d’évolutions technologiques…), à la simplification des règles (à vérifier à l’usage …) et à l’instauration d’une concurrence plus loyale (via l’extension du champ d’application du règlement aux entreprises réalisant des traitements des données personnelles de personnes situées dans l’UE).
Cela étant, l’angélisme n’est pas forcément de mise car ces nouvelles dispositions vont engendrer pour beaucoup d’entreprises des coûts liés aux investissements nécessaires à l’adaptation de leurs outils ou procédures actuels à des fins de conformité avec la nouvelle réglementation.
Un texte unique porteur de promesses mais aussi de limites
De fait, tous les acteurs concernés du secteur public et du secteur privé entendent bien trouver des réponses plus adaptées à leurs actuelles problématiques de Big data, de Cloud computing, de sécurisation des flux transfrontières de données...
Autant de questions à mettre en parallèle avec le fait que le Règlement prévoit l’exercice du principe de protection des données personnelles sous toutes ses facettes, telles la protection en amont (avec le principe du privacy by design), la protection analysée (analyse d’impact), la protection documentée (documentation obligatoire en tant que preuve de la conformité légale), la protection en chaîne (responsabilité du sous-traitant et possibilité de coresponsabilité), la protection renforcée (droits des personnes). Bref, la mise en œuvre du principe d’accountability !
Sur le renforcement des droits des personnes, dont on rappellera qu’il a servi de fondement à la révision du cadre réglementaire, le consentement doit retenir toute l’attention car, chaque fois qu’il est nécessaire pour un traitement de données, outre le fait qu’il ne soit jamais implicite ou général, il doit pouvoir être prouvé (donc documenté et tracé) par le responsable de traitement. Que dire des perspectives du Big data ? En attendant, il est conseillé de revoir dès maintenant les clauses contractuelles actuelles portant sur l’information et le consentement préalables des clients.
Plus de onze droits sont désormais reconnus à la personne au lieu des trois actuels droits « Informatique et Libertés » (opposition au traitement sous réserve de motif légitime, accès/communication et rectification/suppression des données).
C’est-à-dire onze risques de sanction pécuniaire pouvant aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise en cas de violation des obligations prescrites … .
Une liste à la Prévert parait ici très adaptée pour prendre en compte les nouveautés : le droit à une information complète sur le traitement des données, exprimée de façon claire et simple quel qu’en soit le support, le droit d’être informé en cas de violation de ses données personnelles, le droit à l’effacement ou « droit à l’oubli », le droit à la limitation du traitement (notamment afin de permettre à la personne concernée de faire valoir ses droits en justice), le droit à la portabilité des données (en cas de changement de fournisseur de services notamment)… et, bien sûr, le droit d’opposition (notamment pour encadrer le profilage).
Cela étant, si on peut effectivement reconnaître que la confiance dans le marché unique du numérique passe par le renforcement du rôle conféré aux citoyens européens sur leurs données (contrôle de leur utilisation, de leur transmission, de leur partage,…), rien n’empêche également d’espérer de la part de certains d’entre eux plus de prudence (oserait-on dire de responsabilité ?) quant à l’étalage de l’intimité de leur vie privée (et non, je ne pense pas qu’à Facebook !).
Un texte unique mais non isolé
Effectivement, l’ère de l’actualisation des textes a sonné et, au vu de la production législative actuelle, de ces changements tout azimut : doit-on craindre un imbroglio de textes ?
De fait, le contexte international bouge et la vague de modernisation va également impacter profondément la Convention 108, première Convention internationale pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l'Europe de 1981. On l’aura compris la cohérence des dispositions nouvelles avec celles du RGPD est une nécessité, ce qui soulève encore des réserves (pour la notion de consentement par exemple).
Au niveau européen, la refonte du cadre général de la protection des données personnelles via le Règlement européen va de pair avec la modification la directive « vie privée et communications électroniques » qui, spécifique à ce secteur mais qui est aussi quelque peu dépassée (derniers changements en 2009). La Commission européenne a donc lancé une consultation publique, ouverte du 12/04 au 05/07/2016, sur l’évaluation et la révision de cette directive. Concrètement, la consultation est réalisée via un questionnaire sur le site de la Commission. Notre conseil en la matière est : participer c’est gagner !
Il faudra rester vigilant car le RGPD s’inscrit dans un ensemble plus vaste de textes visant à règlementer l’ère du numérique dont le Règlement Eidas sur l’identification et les services de confiance du 23 juillet 2014. On trouvera donc des références par ci, par là …
Au niveau local enfin, le projet de loi pour la République numérique, en cours d’examen, interroge aussi sur sa cohérence avec le Règlement européen (notamment la limitation de la sanction pécuniaire à 1,5 million d’euros, ou les notions de « portabilité »/« récupération » des données en ligne).
Alors, même si on peut parfois cautionner le fameux "abondance de biens ne nuit pas", notre conseil ici serait de se prémunir contre toute indigestion et donc de consommer le mille-feuilles juridiques petit bout par petit bout.
Isabelle Cantero, Avocat, spécialisée en "Vie privée et protection des données personnelles"
SUR LE MÊME SUJET
2Commentaires
Réagir
