Une révision des règles sur la protection des données dans l’Union européenne est désormais primordiale. C’est dans cette optique que la commission des libertés civiles du Parlement européen a adopté un paquet de directives sur les données personnelles lundi 21 octobre dernier.
La directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données constitue le texte de référence dans cette matière au niveau européen. Son objectif est d’établir un certain équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l’Union européenne. Ainsi on y trouve des limites quant à l’utilisation et la collecte de ces données. De plus, on y prévoit la création d’un organisme national indépendant qui serait chargé de la protection des données à caractère personnel dans chaque État membre.
Depuis, l’Union européenne a prévu de réformer cette directive avec notamment des propositions de sanctions qui ont été présentées par la Commission européenne, afin de renforcer la protection de la vie privée des citoyens européens. Une nouvelle étape a été franchie ce lundi 21 octobre dernier. En effet, les propositions de révision des règles sur la protection des données personnelles ont été approuvées à la quasi-unanimité, par la commission des libertés civiles du Parlement européen.
Le paquet sur la protection des données personnelles regroupe deux projets législatifs. D’une part, l’élaboration d’un règlement général qui puisse recouvrir l’essentiel du traitement des données personnelles dans l’Union Européenne, tant dans le secteur du public que le secteur du privé. D’autre part, la mise en place d’une directive sur la protection des données qui a pour objet de prévenir, détecter ou poursuivre les infractions pénales avec l’application des peines. Selon le communiqué de la commission des libertés civiles, « les nouvelles règles actualisent les principes juridiques sur la protection des données pour prendre en compte les défis posés par les nouvelles technologies de l’information, la mondialisation et la tendance croissante d’utiliser les données personnelles à des fins répressives ».
Cette révision porte essentiellement sur le contrôle des données par les citoyens eux-mêmes et sur le transfert de données des entreprises au sein l’Union, mais aussi à destination de pays tiers. Le Parlement a pour visée de conclure un accord sur cette réforme législative avant les élections européennes de mai 2014.
Parmi les différentes évolutions législatives envisagées, il est prévu que le profilage consistant à analyser ou prédire les performances au travail, la situation économique, la location, le comportement ou encore la santé d’une personne serait limité. Il ne serait autorisé que si la personne concernée donne son consentement, si la loi le prévoit ou s’il est nécessaire pour l’exécution d’un contrat. De plus, il ne pourrait servir de base à une quelconque discrimination. En effet, les députés estiment que toute personne devrait avoir le droit de s’opposer à son profilage.
En ce qui concerne le consentement explicite d’une personne concernée par un cas de traitement de données, celui-ci devrait être explicite. Ainsi, une organisation ou une entreprise pourrait traiter des informations personnelles sur cette personne uniquement après avoir reçu son autorisation explicite.
De plus, le droit à l’effacement permettrait à tout citoyen de pouvoir effacer ses données personnelles s’il en fait la demande auprès d’un « contrôleur de données » (serveur d’une entreprise par exemple). Le droit à l’oubli qui avait été proposé par la Commission européenne est remplacé par ce droit à l’effacement.
Concernant les transferts de données aux pays tiers, « si un pays tiers demande à une entreprise de dévoiler les données personnelles traitées au sein de l’UE, cette entreprise devra recevoir l’autorisation du Contrôleur européen de la protection des données avant de transmettre toute information ». L’entreprise devra également informer la personne visée par cette demande.
Enfin, des mesures sont aussi prévues afin de sanctionner les entreprises qui ne respecteraient pas ces règles. Il est notamment prévu une amende d’un montant allant jusqu’à 100 millions d’euros ou 5% du chiffre d’affaires annuel mondial, et cela en fonction du montant le plus élevé.
Selon la commissaire européenne Viviane Reding, « à compter d’aujourd’hui, la protection des données est une affaire européenne ». La visée de ce paquet sur les données personnelles est louable, sa portée est favorable aux citoyens en leur offrant la possibilité de prendre le contrôle sur l’utilisation de leurs données à caractère personnel. Toutefois, d’autres étapes législatives sont à venir avant une adoption définitive.
Marie-Ena Jacoby-Koaly
Étudiante en Master 2 Droit de l’économie numérique
Je suis passionnée par le droit de la propriété intellectuelle, le droit de l’Internet et des nouvelles technologies.
