Que contient le paquet relatif à la protection des données personnelles de l’UE ?

Les débats, engagés depuis la présentation des propositions par la Commission européenne en janvier 2012, ont donné lieu, le 15 décembre dernier, à un accord informel entre la Commission européenne, le Parlement et le Conseil européens. L’objectif du paquet relatif aux données personnelles est la création d’un ensemble de règles uniformes en Europe renforçant la protection de ces données. La nouvelle législation, matérialisée par un Règlement européen et une directive (relative aux autorités policières et judiciaires), remplacera les lois actuelles de protection des données de l’UE adoptées au moment de l’éclosion d’Internet, en 1995.

Données contrôlées par le citoyen

La nouvelle législation dote le citoyen européen d’outils pour contrôler l’utilisation de ses données personnelles faite par des tiers, notamment les plate-formes telles que Facebook, Google ou encore YouTube. Est ainsi prévu un consentement explicite et positif du consommateur au traitement de ses données personnelles. Son acceptation pourra par exemple se matérialiser par une déclaration ou une action (cocher une case). Un silence ou une inactivité ne pourront donc être interprétés comme un consentement. L’information devra être donnée dans un langage clair et les autorités nationales en charge de la protection des données accueilleront les plaintes liées aux violations de ces données.

Le droit à l’oubli numérique, consacré par la CJUE en 2014[1] et qui rencontre de grandes difficultés d’application hors de l’espace européen, est désormais consacré par les nouveaux textes.

Enfin, les enfants ne pourront disposer d’un compte sur les réseaux sociaux (Facebook ou Instagram par exemple) que s’ils justifient de l’obtention du consentement parental. Les nouvelles règles ne fixent pas l’âge mais seulement une fourchette. Il appartiendra à chaque État membre de fixer cette limite qui ne pourra être inférieure à treize ans, ni supérieure à seize.

Amendes élevées

Pour mémoire, lors du contentieux entre Google et la Cnil relatif à l’application du droit à l’oubli par le géant du Web, l’amende délivrable par l’autorité de protection était de 150 000 euros… La nouvelle législation prévoit désormais des sanctions élevées dont l’effet devrait être dissuasif pour les entreprises qui viendraient à l’enfreindre. L’amende pourra ainsi atteindre jusqu’à 4 % de leur chiffre d’affaires annuel total.

Agent de protection des données

Les entreprises qui gèrent des quantités importantes de données sensibles ou qui surveillent de manière accrue le comportement des consommateurs devront nommer un agent de protection des données. En revanche, les entreprises dont l’activité principale ne consiste pas à traiter ce genre de données sont exemptées. En outre, les obligations qui incombent aux entreprises sont modulées en fonction du risque potentiel pour la vie privée que peuvent présenter les activités de l’entreprise.

Enfin, les plaintes seront centralisées : les entreprises devront avertir l’autorité nationale de surveillance, par notification, lors d’une violation grave ou un piratage de ces données. Une seule autorité de régulation nationale, équivalente à la Cnil, sera compétente : celle du pays où l’entreprise à son siège.

Cet accord informel sera soumis aux représentants permanents des gouvernements de l’Union européenne et devra être validé par le Parlement européen en séance plénière avant de pouvoir être promulgué. Après l'entrée en vigueur de l'accord, les États membres auront deux ans pour appliquer les dispositions de la nouvelle réglementation.

^{[1] CJUE, 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. c/ Agencia Española de Protección de Datos (AEPD) et a.}

AM