Accord sur le projet de Règlement européen relatif à la protection des données personnelles

Projet de Règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, 25 janvier 2012

Le 15 décembre 2015, le trilogue réunissant des membres de la Commission, du Parlement et du Conseil de l’Union européenne sont parvenus à un accord sur le projet définitif de Règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Ce projet a ensuite été approuvé par la commission LIBE du Parlement européen le 17 décembre.

Il sera présenté pour un vote en séance plénière du Parlement dans les prochaines semaines et entrera en vigueur début 2018.

Les points clés du Règlement incluent :

– L’élargissement de la définition de « données à caractère personnel » qui couvrira également les adresses IP, les identifiants en ligne ou encore les données de géolocalisation des individus.

– L’extension du champ territorial des règles européennes aux traitements de données effectués depuis un pays tiers à l’Union européenne dans le cadre d’offres de produits ou de services à des citoyens européens.

– La mise en place d’un guichet unique: les responsables de traitement ne rendront compte qu’à une seule autorité de contrôle au sein de l’Union européenne, celle du pays où le responsable de traitement a son établissement principal.

– Un consentement explicite et positif sera désormais requis pour la collecte et le traitement des données.

– Le renforcement de l’information des personnes concernées, notamment en ce qui concerne leurs droits ou la mise en place de mesures de profilage.

– La consécration du droit à l’oubli : toute personne concernée pourra demander que ses données soient supprimées, sans délai, dans certains cas spécifiques.

– L’instauration d’un droit à la portabilité des données, permettant aux personnes concernées d’obtenir l’ensemble des données collectées à leur sujet, dans un format structuré, lisible et habituellement utilisé, et de demander au responsable de traitement de les transférer directement vers un autre responsable de traitement.

– La définition du profilage comme un traitement consistant à utiliser des données pour évaluer, analyser et prédire certains aspects personnels liés à une personne physique. Toute personne concernée pourra demander à ne pas faire l’objet de telles mesures, dans certaines circonstances spécifiques.

– De nouvelles obligations pour les responsables de traitement : notification obligatoire en cas de violation de données à l’autorité nationale compétente ainsi qu’aux personnes concernées, obligation de mener des études d’impact dans certaines hypothèses, respect des principes de protection de la vie privée dès la conception (privacy by design) et par défaut (privacy by default).

– La suppression des déclarations : suppression de l’obligation générale de notification préalable aux autorités de contrôle pour chaque traitement de données personnelles.

– La désignation obligatoire d’un agent de protection des données lorsque les entreprises gèrent des quantités importantes de données sensibles ou surveillent le comportement de consommateurs.

– Etablissement de sanctions pécuniaires élevées, pouvant aller jusqu’à 20 millions d’euros ou, pour les entreprises, 4% du chiffre d’affaires mondial de l’entreprise.

Camille BURKHART