Le règlement européen sur la protection des données personnelles :
- Il donne aux citoyens plus de contrôle sur leurs informations personnelles dans l’environnement 2.0 : le droit à l’oubli, c’est-à-dire à l’effacement des données se trouve conforté (sauf raison légitime de les conserver) ; le droit à la « portabilité des données » est instauré (possibilité pour tout citoyen de transmettre des données à caractère personnel entre fournisseurs de services) ; l’obligation de consentement clair et explicite est renforcée (tout citoyen devra expressément et de manière active donner son accord pour le traitement de données à caractère privé y compris à des fins de profilage) ; le droit d’être informé des politiques de vie privée d’une part et d’autre part, des piratages, est définitivement acquis aux citoyens ; les enfants ne sont pas omis du champ, leur droit à l’oubli étant plus clair, leur obligation « d’autorisation parentale » en dessous d’une certaine limite d’âge et pour certains usages étant entérinée
- Il crée la clarté juridique pour les entreprises afin d’encourager l’innovation et le développement du futur marché unique du numérique : une autorité de surveillance unique sera créée avec mise en place d’un système centralisé pour les entreprises qui n’auront de fait plus à faire face aux 28 autorités nationales actuelles et pourront faire des affaires dans l’UE de manière plus simple et moins coûteuse
- Il vise à renforcer la confiance et à garantir un niveau élevé de protection pour tous les citoyens de l’UE et pose le respect de la vie privée comme norme fondamentale : moins de données à caractère personnel devront être collectées par les entreprises et celles collectées devront être mieux sécurisées ; les entreprises devront désigner un responsable de la protection des données si elles gèrent des quantités importantes de données sensibles ou surveillent le comportement de nombreux utilisateurs ; les pouvoirs des agents de protection seront accrus et des amendes importantes pourront être appliquées en cas de violations
- Il s’appliquera également à des entreprises non européennes mais ciblant des marchés et par suite, des consommateurs européens : « le règlement énoncera clairement que les entreprises basées en dehors de l’UE devront respecter les mêmes normes que celles qui proposent des biens et services sur le marché de l’UE. Cela contribuera à créer une concurrence équitable pour toutes les entreprises opérant au sein de l’Union. »
La directive sur la protection des données couvre le traitement des données par le secteur de la police et la justice pénale :
- Elle vise à protéger les données dans le cadre d’une enquête pénale ou d’une action d’application de la loi (incluant victimes, témoins, suspects…) : les traitements de données liés à l’application de la loi dans l’UE devront répondre au principe de nécessité, de proportionnalité et de légalité ; les règles s’appliqueront tant au niveau national des états que de manière transfrontalière au sein de l’Union ; le transfert de données à caractère personnel vers des pays tiers devra répondre à des règles très strictes assurant un niveau élevé de protection des données lors des transferts
- Elle revêt, entre autres finalités, celle de favoriser les échanges transfrontaliers dans le cadre de la coopération policière et judiciaire afin de lutter plus efficacement contre la criminalité et le terrorisme à travers l’Europe : la directive complète les dispositions récentes sur le nouveau règlement d’Europol et sur la directive établissant un système de collecte des données des passagers aériens de l’UE
Dans la pratique, le G29 (réunissant les CNIL européennes) qui est présidé jusqu’en février 2018 par Isabelle Falque-Pierrotin, présidente de la CNIL, sera remplacé par le CEPD, Comité Européen de la Protection des Données. Il verra son indépendance renforcée et pourra rendre des avis contraignants, notamment dans le cadre de procédures de sanctions. Pour l’heure, il va organiser des consultations avec les parties prenantes avant l’été 2016 afin d’accompagner au mieux des entreprises pour l’échéance 2018.
