Accès direct à la navigation principale (appuyer sur "Entrée")
Accès aux contenus de la page (appuyer sur "Entrée")
Accès direct aux autres sites (appuyer sur "Entrée")

Questions - Réponses sur la réforme du régime de protection des données de l'UE

Droits des citoyens / Droits fondamentaux04-03-2014 - 10:22 (European Parliament's Elections)
 

La mondialisation accrue des flux de données, via les réseaux sociaux, l'informatique en nuage, les moteurs de recherche ou les services de localisation, augmente le risque de perte de contrôle des données personnelles. Le 21 octobre 2013, les députés de la commission des libertés civiles ont voté une révision majeure des règles actuelles sur la protection des données de l'UE.


L'objectif de cette révision est de renforcer le contrôle des citoyens sur leurs données personnelles, d'augmenter la confiance dans les médias sociaux, le commerce en ligne et le secteur de la communication, et d'accroître la protection des données traitées par les autorités policières et judiciaires.


Par ailleurs, le nouveau règlement remplacera les diverses législations nationales actuelles par un ensemble unique de règles, qui faciliteront la circulation des entreprises au sein de l'UE tout en renforçant les droits des citoyens.


La législation européenne actuelle sur la protection des données date de 1995, avant qu'Internet soit largement utilisé, et ne couvre pas les données traitées à des fins d'exécution de la loi. Aujourd'hui, 250 millions de personnes utilisent quotidiennement Internet en Europe. Les nouvelles règles actualiseront les principes juridiques existants et les appliqueront au nouvel environnement en ligne, afin de garantir une protection efficace du droit fondamental à la protection des données et d'accroître la certitude juridique pour les entreprises.


Les changements apportés par la commission des libertés civiles à la proposition de la Commission européenne représentent le mandat du Parlement pour débuter les négociations avec le Conseil sur ce paquet législatif. Le Parlement dans son ensemble devrait confirmer les textes de la commission parlementaire lors d'un vote en plénière prévu le 12 mars 2014. Les pourparlers interinstitutionnels débuteront dès que les pays de l'UE auront défini leur position de négociation. L'objectif du Parlement est de conclure un accord sur cette importante réforme législative avant fin 2014.

REF. : 20130502BKG07917
 
 

En quoi consiste le "paquet sur la protection des données"?

Le paquet relatif à la réforme sur la protection des données s'articule autour de deux projets législatifs: un règlement général qui couvre l'essentiel du traitement des données personnelles au sein de l'UE et une directive sur la protection des données qui vise à prévenir, détecter ou poursuivre les infractions pénales ainsi qu'à les sanctionner (application de la loi).


Le projet de règlement met à jour les principes établis dans la directive de 1995, afin de suivre le rythme des principaux changements dans le secteur du traitement des données, nés avec Internet. Il couvrirait par exemple les données traitées sur Internet, tels que pour les réseaux sociaux, le commerce en ligne et les services bancaires, et ailleurs, par exemple dans les registres des hôpitaux et des universités, les registres des clients dans les entreprises et les données utilisées à des fins de recherche. Jan Philipp Albrecht (Verts/ALE, DE) est le député responsable du projet de règlement.


La proposition de directive devrait remplacer une décision-cadre de 2008 sur le traitement transfrontalier des données en matière de coopération policière et judiciaire. Son objectif est de protéger les transferts de données nationaux et transfrontaliers, ce qui n'est pas le cas à l'heure actuelle. Le but est également d'assurer un haut niveau de protection des données pour les citoyens. Dimitrios Droutsas (S&D, EL) est le député responsable du projet de directive.

 
 

Quels sont les éléments principaux du vote de la commission des libertés civiles?

Avant le vote en commission des libertés civiles, les groupes politiques du Parlement ont négocié un ensemble d'amendements couvrant de nombreux éléments des deux dossiers. L'objectif était de parvenir à un mandat de négociation solide pour les négociations avec le Conseil et de réduire le nombre d'amendements mis aux voix.


Voici un aperçu des propositions principales de la commission parlementaire concernant le règlement.


Transferts de données aux pays tiers (article 43 bis)


Les règles votées en commission parlementaire régissent les transferts de données à caractère personnel vers des pays tiers. Si un pays tiers demande à une entreprise (par exemple un moteur de recherche, un réseau social ou un fournisseur de services d'informatique en nuage) de dévoiler les données personnelles traitées au sein de l'UE, cette entreprise devra recevoir l'autorisation de l'autorité nationale de la protection des données et informer la personne concernée avant de transférer les informations la concernant.


Sanctions pour les entreprises (article 79)


En cas de violation des règles, les députés affirment que les autorités de protection des données devraient imposer au moins l'une des sanctions suivantes:


• un avertissement écrit, en cas de violations moins graves;

• des audits périodiques réguliers sur la protection des données;

• une amende pour les entreprises, allant jusqu'à 100 millions d'euros ou 5% de leur chiffre d'affaires annuel mondial, en fonction du montant le plus élevé (la Commission européenne avait proposé des sanctions allant jusqu'à un million d'euros ou 2% du chiffre d'affaires annuel mondial).


En cas de sanctions imposées, les autorités de protection des données devraient prendre en compte des facteurs aggravants tels que la durée de la violation, le caractère négligent ou répétitif de l'infraction, la volonté de coopérer ou le montant des dégâts.


Droit à l'effacement (article 17)


Conformément au mandat du Parlement, tout personne devrait avoir le droit d'obtenir l'effacement de ses données: a) lorsque le traitement des données ne respecte pas les règles européennes, b) lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été recueillies, ou c) lorsque la personne concernée a retiré son consentement au traitement ou lorsqu'elle s'y oppose.


Afin d'appliquer ce droit, si une personne demande à une entreprise d'Internet d'effacer ses données, cette entreprise devra également envoyer la demande aux parties qui dupliquent les données. Ce "droit à l'effacement" repose sur les règles fixées dans la directive de 1995 et sur la proposition de la Commission européenne.


Cependant, ce droit serait limité dans certains cas, par exemple lorsque les données sont nécessaires pour des fins historiques, statistiques et de recherche scientifique, pour des raisons de santé publique, ou pour l'exercice du droit à la liberté d'expression. Le droit à l'effacement ne s'appliquerait pas non plus lorsque la détention des données à caractère personnel est nécessaire pour la conclusion d'un contrat ou lorsque la loi l'exige.


Ce "droit à l'effacement" couvrirait le "droit à l'oubli" proposé par la Commission européenne.


Consentement explicite (article 7)


Lorsque le traitement des données se base sur le consentement, une entreprise pourrait traiter des informations personnelles uniquement après avoir obtenu l'autorisation explicite de la personne concernée, qui pourrait revenir sur ce consentement à tout moment. Le consentement d'une personne correspond à "toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque" le traitement de ses données personnelles.


Les députés de la commission des libertés civiles ont retenu cette proposition. Ils précisent également que "l'exécution d'un contrat ou la fourniture d'un service ne peut être subordonnée à l'approbation du traitement des données à caractère personnel qui n'est pas strictement nécessaire pour l'achèvement de ce contrat ou service".


De plus, conformément à la position du Parlement, l'autorisation n'a plus d'effet dès que le traitement des données personnelles n'est plus nécessaire pour l'objectif initial pour lequel elles avaient été collectées. Revenir sur son consentement doit être aussi facile que le donner, ajoutent les députés.


Langage simple et clair, et droit à l'information


Afin que les citoyens puissent donner plus facilement leur consentement explicite, les contrôleurs de données devraient utiliser un langage clair, concis et simple, lorsqu'ils expliquent leurs politiques sur le droit à la vie privée et, en particulier, lorsqu'ils fournissent des informations adressées aux enfants, affirment les députés (article 11).


Lorsqu'ils collectent des données à caractère personnel, les contrôleurs devraient préciser aux personnes concernées si leurs informations personnelles seront transférées à des parties tierces commerciales, vendues, ou cryptées. Ils devraient également indiquer si les données personnelles seront recueillies et/ou stockées au-delà du délai minimum nécessaire à l'objectif spécifique du traitement ou à d'autres fins. Ces explications seront données grâce à des textes facilement compréhensibles et grâce à des symboles, ajoutent les députés (article 13 bis).


Le contrôleur de données devrait également informer la personne concernée des différents aspects du traitement de ses données, comme la période de stockage, l'identité du responsable du traitement et celle des destinataires des données, l'existence possible du profilage, ainsi que le droit d'accès de la personne concernée à ses informations, ses droits de rectification et d'effacement, et le droit d'introduire une plainte auprès des autorités de protection des données (article 14).


Profilage (article 20)


La proposition fixe les limites du "profilage", une pratique utilisée pour analyser ou prédire les performances professionnelles d'une personne, sa situation économique, sa localisation, sa santé, ses préférences, sa fiabilité ou son comportement grâce au traitement automatique de ses données personnelles.


Les députés ont proposé des changements pour souligner qu'en règle générale, le profilage serait uniquement autorisé si la personne concernée donne son consentement, si la loi le permet ou s'il est nécessaire à l'exécution d'un contrat. Ils ont également précisé que le profilage ne devrait pas entraîner de discrimination ou se baser uniquement sur des données sensibles (telles que les données révélant, entre autres, l'origine ethnique, les opinions politiques, la religion, l'orientation sexuelle, les données génétiques ou biométriques, des sanctions administratives ou des suspicions).


De plus, la commission des libertés civiles insiste sur le fait que le profilage ne devrait pas se baser uniquement sur le traitement automatique des données. Il devrait comprendre une évaluation menée par l'homme, incluant une explication de la décision conclue après un tel examen. Ce système pourrait influer sur la manière dont la solvabilité est évaluée par exemple.


Portabilité des données


Selon la proposition de la Commission européenne, toute personne aurait le droit de demander, par exemple, à un prestataire d'email ou à un réseau social de transférer une copie de ses données sous un format électronique utilisé couramment à un autre fournisseur ou service (ce qu'on appelle le droit à la "portabilité des données", article 18).


Les députés de la commission des libertés civiles proposent de fusionner le droit à la portabilité des données au droit à l'accès aux données (article 15). Ils soulignent que pour les informations personnelles traitées par des outils électroniques, le contrôleur devrait fournir une copie de ces données sous un format électronique et interopérable. Cela permettrait aux utilisateurs de changer de fournisseur d'email sans perdre de contacts ou d'anciens courriels par exemple. Dans la mesure où cela est techniquement possible et à la demande de la personne concernée, les données seraient transférées directement d'un contrôleur à un autre (par exemple d'un fournisseur d'email à un autre).


Délégué à la protection des données (article 35)


Les institutions publiques, les entreprises qui traitent les données de plus de 5000 personnes par an et les organisations dont les activités principales incluent le traitement de données sensibles ou l'examen systématique de personnes seraient tenues de nommer un délégué à la protection des données. Cette proposition se base sur le modèle allemand.


Les amendements des députés modifient les critères pour la nomination d'un délégué à la protection des données, de sorte que le critère ne dépendrait pas du nombre d'employés dans une entreprise (la Commission européenne propose au minimum 250 employés), mais du nombre de personnes dont elle collecte les données. De plus, le délégué à la protection des données devrait être nommé pour une période de quatre ans dans le cas des employés et de deux ans pour les contractants externes. La Commission européenne avait proposé une période de deux ans dans les deux cas.


Les délégués à la protection des données devraient exercer leurs fonctions de manière indépendante et bénéficier d'une protection spéciale contre le licenciement, affirme la commission des libertés civiles.


Droit d'introduire une plainte (article 54 bis)


Conformément aux amendements des députés, les personnes dont les données personnelles sont traitées par un contrôleur (par exemple une entreprise d'Internet) dans un autre État membre devraient pouvoir se plaindre auprès des autorités de protection des données de leur choix (celles du pays où l'entreprise à son siège ou celle de leur propre pays d'origine). Les citoyens pourront ainsi introduire plus facilement des plaintes dans leur propre langue.


Autorités de protection des données plus fortes et plus indépendantes


Conformément à l'article 16 du traité de l'UE et de la jurisprudence de la Cour de justice de l'Union, les députés ont renforcé l'indépendance des autorités de protection des données et ont clarifié leurs pouvoirs d'intervention.


Guichet unique et mécanisme de contrôle de la cohérence


Une innovation importante du règlement est l'établissement d'une autorité compétente unique pour toutes les activités de traitement d'un contrôleur ou d'un sous-traitant des données dans l'Union. L'autorité de protection des données du pays dans lequel le contrôleur a son principal établissement serait l'autorité principale en termes de mesures prises par rapport au contrôleur. Cette organisation consulterait d'autres autorités nationales de protection des données impliquées. Cette mesure aurait un impact sur le contrôle des géants d'Internet dont les bureaux se trouvent dans plusieurs pays de l'UE.


En cas de désaccord, un "mécanisme de contrôle de la cohérence" permettrait de résoudre le problème avec l'aide du comité européen de la protection des données (qui coordonnerait les différentes autorités de protection nationale).

 
 

La directive

Alors que le règlement général s'appliquera directement dans les États membres, la directive sur les données traitées par les autorités policières et judiciaires afin de prévenir, détecter ou poursuivre les infractions pénales, devra être transposée dans le droit national. Les pays de l'UE sont autorisés à fixer des normes plus strictes que celles de la directive.


Les députés de la commission des libertés civiles estiment qu'il est important d'éliminer les divergences entre les différentes législations des États membres dans ce domaine et de combler les failles. Pour y parvenir, cette directive devrait être traitée parallèlement au règlement (en tant que paquet).


Voici un aperçu des propositions principales de la commission parlementaire concernant la directive:


  • un certain nombre de concepts envisagés dans le règlement, tels que le profilage, le consentement explicite, l'utilisation d'un langage clair et simple, ainsi que la nomination d'un délégué à la protection des données, devraient également s'appliquer à la directive, selon le mandat de négociation du Parlement;

  • les données personnelles pourraient être transférées à des pays tiers ou des organisations internationales seulement si le transfert est nécessaire aux fins de la directive, si le contrôleur du pays tiers ou de l'organisation est une autorité publique, et si le niveau de protection des données est le même que celui fixé dans la directive. Les transferts seraient également autorisés si la Commission européenne décide que le pays tiers ou l'organisation protègent adéquatement les données ou si des sauvegardes appropriées sont établies par un instrument juridiquement contraignant (article 33);

  • les États membres devraient garantir que des informations claires et facilement compréhensibles soient données à la personne concernée quant au traitement de ses données et à ses droits principaux, tels que le droit d'accès, de rectification et d'effacement de ses données, le droit d'introduire une plainte et d'aller en justice, et le droit à une indemnisation en cas de traitement illégal. Ces droits devraient être exercés gratuitement (article 9 bis, articles 11-17);

  • les données doivent être traitées de façon à les protéger contre un traitement non-autorisé ou illicite et contre la perte, la destruction et les dommages accidentels (article 4);

  • les données personnelles ne devraient pas être utilisées dans un autre but que celui pour lequel elles ont été collectées. Elles doivent être effacées si elles ne sont plus nécessaires à l'objectif initial, affirment les députés. Ils ajoutent que les États membres doivent veiller à ce que des limites de temps soient fixées pour l'effacement de ces données (article 7 bis, article 4);

  • les activités de profilage visant une personne suspectée d'avoir commis un acte criminel seraient uniquement possibles si elles sont strictement nécessaires pour l'enquête d'un crime grave ou pour empêcher une menace imminente à la sécurité publique ou à la vie de citoyens (article 9);

  • de manière générale, les autorités répressives auraient accès aux données des personnes reconnues coupables d'une infraction pénale, des suspects (pour des motifs raisonnables), des victimes et d'autres personnes liées à une enquête pénale, comme les témoins. Les données des autres personnes seraient traitées seulement pour la durée nécessaire à l'enquête ou pour des fins ciblées et préventives (article 5); et

  • les députés ont introduit des limites strictes pour l'utilisation des données sensibles (article 8). Les données génétiques devraient uniquement être traitées pour empêcher une menace à la sécurité publique ou une infraction pénale spécifique (article 8 bis).
 
 

Définitions clés

Données à caractère personnel


Les "données personnelles" représentent toutes les informations concernant la vie privée, professionnelle ou publique d'un individu. Il peut s'agir d'un nom, d'une photo, d'une adresse email, de données bancaires, de commentaires sur les réseaux sociaux, d'informations médicales ou de l'adresse IP de l'ordinateur de la personne concernée.


Contrôleur de données


Les "contrôleurs de données" décident des conditions, des objectifs et du mode de traitement des données. Il peut s'agir d'individus, d'entreprises ou d'autorités publiques. Parmi les exemples d'individus qui contrôlent des données figurent les médecins, les pharmaciens et les hommes politiques, qui conservent des données sur leurs patients, clients et électeurs.


Processeur de données


Les "processeurs de données" traitent des informations personnelles pour le compte et sous l'autorité des contrôleurs de données mais ne prennent pas de décisions relatives aux conditions, objectifs et moyens de traitement. Par exemple, les entreprises qui gèrent les registres de personnel, les comptables et les bureaux d'études de marché sont des processeurs de données lorsqu'ils traitent des informations personnelles au nom d'autres organismes (comme des entreprises ou des autorités publiques, qui seraient des contrôleurs de données dans ce cas). Cependant, s'ils décident des conditions, des objectifs ou agissent au-delà des instructions des contrôleurs, ils deviennent alors des contrôleurs de données pour cette activité spécifique de traitement.


Sujet des données


Les données à caractère personnel sont utilisées pour identifier une personne physique. Cette personne est le "sujet des données".


 
 

Faits et chiffres

Un record de 3133 amendements à la proposition de règlement ont été déposés en commission des libertés civiles. Avec les amendements déposés dans les avis en commission de l'industrie (417), en commission du marché intérieur (226), en commission de l'emploi (27) et en commission des affaires juridiques (196), le nombre total d'amendements s'élève à 3999. Il s'agit du plus grand nombre d'amendements jamais déposés pour un seul dossier législatif au Parlement.


Les groupes politiques du Parlement ont négocié 91 amendements de compromis, combinant les amendements déjà déposés, afin de faciliter le vote sur le règlement.


673 amendements à la proposition de directive ont été déposés en commission des libertés civiles. Avec les amendements déposés pour l'avis en commission des affaires juridiques (98), le nombre total d'amendements s'élève à 771.


Les groupes politiques du Parlement ont négocié 64 amendements de compromis, combinant les amendements déjà déposés, afin de faciliter le vote sur la directive.


La liste de vote pour le règlement compte 261 pages et celle pour la directive 57 (318 pages au total).


Au moment du vote en plénière en mars 2014, la réforme sur la protection des données avait été débattue pendant 25 mois. Les débats officiels en commission des libertés civiles ont duré environ 30 heures. Les négociations informelles entre les groupes politiques ont duré 250 heures.


Le mandat de négociation du Parlement pour le règlement a été adopté par 51 voix pour, une voix contre et 3 abstentions.


Le mandat de négociation du Parlement pour la directive a été adopté par 47 voix pour, 4 voix contre et une abstention.

 
 

Quels sont les principaux députés responsables de cette réforme?

• Jan Philipp Albrecht (Verts/ALE, DE) est le rapporteur pour le règlement.

• Dimitrios Droutsas (S&D, EL) est le rapporteur pour la directive.

• Seán Kelly (PPE, IE) est le rapporteur pour avis en commission de l'industrie (règlement).

• Lara Comi (PPE, IT) est le rapporteur pour avis en commission du commerce international (règlement).

• Nadja Hirsch (ADLE, DE) est le rapporteur pour avis en commission de l'emploi (règlement).

• Marielle Gallo (PPE, FR) est le rapporteur pour avis en commission des affaires juridiques (règlement).

• Axel Voss (PPE, DE) est le rapporteur pour avis en commission des affaires juridiques (directive).


L'équipe de négociation du Parlement pour le règlement sera composée de: Juan Fernando López Aguilar (S&D, ES), président de la commission des libertés civiles, Jan Philipp Albrecht (rapporteur), ainsi qu'Axel Voss, Dimitrios Droutsas, Alexander Alvaro (ADLE, DE), Timothy Kirkhope (ECR, UK) et Cornelia Ernst (GUE/NGL, DE) en tant que rapporteurs fictifs.


L'équipe de négociation du Parlement pour la directive sera composée de: Juan Fernando López Aguilar (S&D, ES), président de la commission des libertés civiles, Dimitrios Droutsas (rapporteur), ainsi qu'Axel Voss, Sophia in't Veld (ADLE, NL), Jan Philipp Albrecht, Timothy Kirkhope et Cornelia Ernst en tant que rapporteurs fictifs.

 
 

Prochaines étapes

L'équipe de négociation du Parlement est disposée à débuter les négociations avec les États membres. La présidence grecque du Conseil souhaite avoir un mandat de négociation dès que possible. Une fois que les gouvernements nationaux auront convenu une position commune, les pourparlers pourront débuter. L'objectif du Parlement est de conclure un accord avant fin 2014.


Une fois adopté, les États membres disposeront d'un délai de deux ans pour appliquer le règlement et pour transposer la directive dans leur droit national.

 
 

Dates clés au Parlement

• 25.01.2012: propositions de règlement et de directive de la Commission

• 29.05.2012: séminaire organisé par la commission des libertés civiles

• 9-10.10.2012: réunion interparlementaire - Inspirer la confiance dans un monde numérique et global

• 10.01.2013: présentation des projets de rapport par MM. Albrecht et Droutsas

• 23.01.2013: vote sur l'avis de la commission du marché intérieur

• 20.02.2013: vote sur l'avis de la commission de l'industrie

• 21.02.2013: vote sur l'avis de la commission de l'emploi

• 27.02.2013: délai pour le dépôt des amendements en commission des libertés civiles

• 19.03.2013: vote sur l'avis de la commission des affaires juridiques

• 20.03.2013: premier débat sur les amendements en commission des libertés civiles

• 6-7.05.2013: deuxième débat sur les amendements en commission des libertés civiles

• 9-07-2013: présentation de l'évolution des négociations avec les groupes politiques

• 21.10.2013: vote sur le mandat de négociations en commission des libertés civiles

• 12.03.2014: vote en plénière, première lecture

• Second semestre de 2014: négociations Parlement-Conseil

• Avant fin 2014: accord Parlement-Conseil.

 
 
   
Contacts