Accès direct à la navigation principale (appuyer sur "Entrée")
Accès aux contenus de la page (appuyer sur "Entrée")
Accès direct aux autres sites (appuyer sur "Entrée")

Questions - Réponses sur la réforme du régime de protection des données de l'UE

Droits des citoyens / Droits fondamentaux24-06-2015 - 11:11
 

La mondialisation accrue des flux de données, via les réseaux sociaux, l'informatique en nuage, les moteurs de recherche ou les services de localisation, augmente le risque de perte de contrôle des données personnelles. Le 21 octobre 2013, les députés de la commission des libertés civiles ont voté une révision majeure des règles actuelles sur la protection des données de l'UE.


L'objectif de cette révision est de renforcer le contrôle des citoyens sur leurs données personnelles, d'augmenter la confiance dans les médias sociaux, le commerce en ligne et le secteur de la communication, et d'accroître la protection des données traitées par les autorités policières et judiciaires.


Le 15 juin 2015, les États membres ont approuvé leur mandat de négociation. Le premier tour des négociations tripartites entre le Parlement, le Conseil et la Commission, en vue de conclure un accord final sur le nouveau règlement européen relatif à la protection des données, débutera mercredi 24 juin 2015.


Le nouveau règlement remplacera les diverses législations nationales actuelles par un ensemble unique de règles, qui faciliteront la circulation des entreprises au sein de l'UE tout en renforçant les droits des citoyens.


La législation européenne actuelle sur la protection des données date de 1995, avant qu'Internet soit largement utilisé, et ne couvre pas les données traitées à des fins d'exécution de la loi. Aujourd'hui, 250 millions de personnes utilisent quotidiennement Internet en Europe. Les nouvelles règles actualiseront les principes juridiques existants et les appliqueront au nouvel environnement en ligne, afin de garantir une protection efficace du droit fondamental à la protection des données et d'accroître la certitude juridique pour les entreprises.


Les changements apportés le 21 octobre 2013 par la commission des libertés civiles à la proposition de la Commission européenne représentent le mandat du Parlement pour débuter les négociations avec le Conseil sur ce paquet législatif. Le Parlement dans son ensemble a confirmé les textes de la commission parlementaire lors d'un vote en plénière le 12 mars 2014.


Depuis, le Parlement attend que les États membres se mettent d'accord sur une "approche générale" afin de débuter les négociations finales.


Les députés ont, à maintes reprises, appelé le Conseil à progresser sur le paquet, soulignant la nécessité d'actualiser rapidement les dispositions européennes sur la protection des données afin de donner aux citoyens des normes relatives à la protection des données, qui sont nécessaires à l'ère numérique.


Par ailleurs, les parlementaires ont souligné qu'il était nécessaire de fixer des normes unifiées de protection des donnés dans toutes les législations européennes, mais en particulier dans le règlement sur l’Office européen de police (Europol), actuellement en cours de négociation, et le système de données des passagers aériens de l'UE.


Les États membres ayant approuvé, le 15 juin, leur position commune sur le règlement relatif à la protection des données, le premier trilogue a été programmé le 24 juin. Les négociateurs espèrent conclure un accord final d'ici fin 2015.


Les États membres doivent aussi adopter une approche générale sur la directive.

REF. : 20130502BKG07917
 
 

En quoi consiste le "paquet sur la protection des données"?

Le paquet relatif à la réforme sur la protection des données s'articule autour de deux projets législatifs: un règlement général qui couvre l'essentiel du traitement des données personnelles au sein de l'UE et une directive sur la protection des données qui vise à prévenir, détecter ou poursuivre les infractions pénales ainsi qu'à les sanctionner (application de la loi).


Le projet de règlement met à jour les principes établis dans la directive de 1995, afin de suivre le rythme des principaux changements dans le secteur du traitement des données, nés avec Internet. Il couvrirait par exemple les données traitées sur Internet, tels que pour les réseaux sociaux, le commerce en ligne et les services bancaires, et ailleurs, par exemple dans les registres des hôpitaux et des universités, les registres des clients dans les entreprises et les données utilisées à des fins de recherche. Jan Philipp Albrecht (Verts/ALE, DE) est le député responsable du projet de règlement.


La proposition de directive devrait remplacer une décision-cadre de 2008 sur le traitement transfrontalier des données en matière de coopération policière et judiciaire. Son objectif est de protéger les transferts de données nationaux et transfrontaliers, ce qui n'est pas le cas à l'heure actuelle. Le but est également d'assurer un haut niveau de protection des données pour les citoyens. Marju Lauristin (S&D, ET) est la députée responsable du projet de directive.

 
 

Quels sont les éléments principaux pour le Parlement?

Voici un aperçu des propositions principales du Parlement concernant le règlement.


Transferts de données aux pays tiers (article 43 bis)


Les règles votées par le Parlement régissent les transferts de données à caractère personnel vers des pays tiers. Si un pays tiers demande à une entreprise (par exemple un moteur de recherche, un réseau social ou un fournisseur de services d'informatique en nuage) de dévoiler les données personnelles traitées au sein de l'UE, cette entreprise devra recevoir l'autorisation de l'autorité nationale de la protection des données et informer la personne concernée avant de transférer les informations la concernant.


Sanctions pour les entreprises (article 79)


En cas de violation des règles, les députés affirment que les autorités de protection des données devraient imposer au moins l'une des sanctions suivantes:


• un avertissement écrit, en cas de violations moins graves;

• des audits périodiques réguliers sur la protection des données;

• une amende pour les entreprises, allant jusqu'à 100 millions d'euros ou 5% de leur chiffre d'affaires annuel mondial, en fonction du montant le plus élevé (la Commission européenne avait proposé des sanctions allant jusqu'à un million d'euros ou 2% du chiffre d'affaires annuel mondial).


En cas de sanctions imposées, les autorités de protection des données devraient prendre en compte des facteurs aggravants tels que la durée de la violation, le caractère négligent ou répétitif de l'infraction, la volonté de coopérer ou le montant des dégâts.


Droit à l'effacement (article 17)


Conformément au mandat du Parlement, tout personne devrait avoir le droit d'obtenir l'effacement de ses données: a) lorsque le traitement des données ne respecte pas les règles européennes, b) lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été recueillies, ou c) lorsque la personne concernée a retiré son consentement au traitement ou lorsqu'elle s'y oppose.


Afin d'appliquer ce droit, si une personne demande à une entreprise d'Internet d'effacer ses données, cette entreprise devra également envoyer la demande aux parties qui dupliquent les données. Ce "droit à l'effacement" repose sur les règles fixées dans la directive de 1995 et sur la proposition de la Commission européenne.


Cependant, ce droit serait limité dans certains cas, par exemple lorsque les données sont nécessaires pour des fins historiques, statistiques et de recherche scientifique, pour des raisons de santé publique, ou pour l'exercice du droit à la liberté d'expression. Le droit à l'effacement ne s'appliquerait pas non plus lorsque la détention des données à caractère personnel est nécessaire pour la conclusion d'un contrat ou lorsque la loi l'exige.


Ce "droit à l'effacement" couvrirait le "droit à l'oubli" proposé par la Commission européenne.


Consentement explicite (article 7)


Lorsque le traitement des données se base sur le consentement, une entreprise pourrait traiter des informations personnelles uniquement après avoir obtenu l'autorisation explicite de la personne concernée, qui pourrait revenir sur ce consentement à tout moment. Le consentement d'une personne correspond à "toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque" le traitement de ses données personnelles. Dans son mandat de négociation, le Conseil propose d'utiliser le "consentement sans ambigüité", plus vague, que les députés ne trouvent pas assez clair et sujet à différentes interprétations.


Les députés ont retenu cette proposition. Ils précisent également que "l'exécution d'un contrat ou la fourniture d'un service ne peut être subordonnée à l'approbation du traitement des données à caractère personnel qui n'est pas strictement nécessaire pour l'achèvement de ce contrat ou service".


De plus, conformément à la position du Parlement, l'autorisation n'a plus d'effet dès que le traitement des données personnelles n'est plus nécessaire pour l'objectif initial pour lequel elles avaient été collectées. Revenir sur son consentement doit être aussi facile que le donner, ajoutent les députés.


Langage simple et clair, et droit à l'information


Afin que les citoyens puissent donner plus facilement leur consentement explicite, les contrôleurs de données devraient utiliser un langage clair, concis et simple, lorsqu'ils expliquent leurs politiques sur le droit à la vie privée et, en particulier, lorsqu'ils fournissent des informations adressées aux enfants, affirment les députés (article 11).


Lorsqu'ils collectent des données à caractère personnel, les contrôleurs devraient préciser aux personnes concernées si leurs informations personnelles seront transférées à des parties tierces commerciales, vendues, ou cryptées. Ils devraient également indiquer si les données personnelles seront recueillies et/ou stockées au-delà du délai minimum nécessaire à l'objectif spécifique du traitement ou à d'autres fins. Ces explications seront données grâce à des textes facilement compréhensibles et grâce à des symboles, ajoutent les députés (article 13 bis).


Le contrôleur de données devrait également informer la personne concernée des différents aspects du traitement de ses données, comme la période de stockage, l'identité du responsable du traitement et celle des destinataires des données, l'existence possible du profilage, ainsi que le droit d'accès de la personne concernée à ses informations, ses droits de rectification et d'effacement, et le droit d'introduire une plainte auprès des autorités de protection des données (article 14).


Profilage (article 20)


La proposition fixe les limites du "profilage", une pratique utilisée pour analyser ou prédire les performances professionnelles d'une personne, sa situation économique, sa localisation, sa santé, ses préférences, sa fiabilité ou son comportement grâce au traitement automatique de ses données personnelles.


Les députés ont proposé des changements pour souligner qu'en règle générale, le profilage serait uniquement autorisé si la personne concernée donne son consentement, si la loi le permet ou s'il est nécessaire à l'exécution d'un contrat. Ils ont également précisé que le profilage ne devrait pas entraîner de discrimination ou se baser uniquement sur des données sensibles (telles que les données révélant, entre autres, l'origine ethnique, les opinions politiques, la religion, l'orientation sexuelle, les données génétiques ou biométriques, des sanctions administratives ou des suspicions).


De plus, le Parlement insiste sur le fait que le profilage ne devrait pas se baser uniquement sur le traitement automatique des données. Il devrait comprendre une évaluation menée par l'homme, incluant une explication de la décision conclue après un tel examen. Ce système pourrait influer sur la manière dont la solvabilité est évaluée par exemple.


Portabilité des données


Selon la proposition de la Commission européenne, toute personne aurait le droit de demander, par exemple, à un prestataire d'email ou à un réseau social de transférer une copie de ses données sous un format électronique utilisé couramment à un autre fournisseur ou service (ce qu'on appelle le droit à la "portabilité des données", article 18).


Les députés proposent de fusionner le droit à la portabilité des données au droit à l'accès aux données (article 15). Ils soulignent que pour les informations personnelles traitées par des outils électroniques, le contrôleur devrait fournir une copie de ces données sous un format électronique et interopérable. Cela permettrait aux utilisateurs de changer de fournisseur d'email sans perdre de contacts ou d'anciens courriels par exemple. Dans la mesure où cela est techniquement possible et à la demande de la personne concernée, les données seraient transférées directement d'un contrôleur à un autre (par exemple d'un fournisseur d'email à un autre).


Délégué à la protection des données (article 35)


Les institutions publiques, les entreprises qui traitent les données de plus de 5000 personnes par an et les organisations dont les activités principales incluent le traitement de données sensibles ou l'examen systématique de personnes seraient tenues de nommer un délégué à la protection des données. Cette proposition se base sur le modèle allemand.


Les amendements des députés modifient les critères pour la nomination d'un délégué à la protection des données, de sorte que le critère ne dépendrait pas du nombre d'employés dans une entreprise (la Commission européenne propose au minimum 250 employés), mais du nombre de personnes dont elle collecte les données. De plus, le délégué à la protection des données devrait être nommé pour une période de quatre ans dans le cas des employés et de deux ans pour les contractants externes. La Commission européenne avait proposé une période de deux ans dans les deux cas.


Les délégués à la protection des données devraient exercer leurs fonctions de manière indépendante et bénéficier d'une protection spéciale contre le licenciement, affirme le Parlement. Dans son mandat de négociation, le Conseil propose de laisser les États membres décider d'établir ou non un délégué à la protection des données.


Droit d'introduire une plainte (article 54 bis)


Conformément aux amendements des députés, les personnes dont les données personnelles sont traitées par un contrôleur (par exemple une entreprise d'Internet) dans un autre État membre devraient pouvoir se plaindre auprès des autorités de protection des données de leur choix (celles du pays où l'entreprise à son siège ou celle de leur propre pays d'origine). Les citoyens pourront ainsi introduire plus facilement des plaintes dans leur propre langue.


Autorités de protection des données plus fortes et plus indépendantes


Conformément à l'article 16 du traité de l'UE et de la jurisprudence de la Cour de justice de l'Union, les députés ont renforcé l'indépendance des autorités de protection des données et ont clarifié leurs pouvoirs d'intervention.


Guichet unique et mécanisme de contrôle de la cohérence


Une innovation importante du règlement est l'établissement d'une autorité compétente unique pour toutes les activités de traitement d'un contrôleur ou d'un sous-traitant des données dans l'Union. L'autorité de protection des données du pays dans lequel le contrôleur a son principal établissement serait l'autorité principale en termes de mesures prises par rapport au contrôleur. Cette organisation consulterait d'autres autorités nationales de protection des données impliquées. Cette mesure aurait un impact sur le contrôle des géants d'Internet dont les bureaux se trouvent dans plusieurs pays de l'UE.


En cas de désaccord, un "mécanisme de contrôle de la cohérence" permettrait de résoudre le problème avec l'aide du comité européen de la protection des données (qui coordonnerait les différentes autorités de protection nationale).

 
 

La directive

Alors que le règlement général s'appliquera directement dans les États membres, la directive sur les données traitées par les autorités policières et judiciaires afin de prévenir, détecter ou poursuivre les infractions pénales, devra être transposée dans le droit national. Les pays de l'UE sont autorisés à fixer des normes plus strictes que celles de la directive.


Les États membres doivent encore conclure leur mandat de négociations sur la directive. Les députés estiment qu'il est important d'éliminer les divergences entre les différentes législations des États membres dans ce domaine et de combler les failles. Pour y parvenir, cette directive devrait être traitée parallèlement au règlement (en tant que paquet).


Voici un aperçu des propositions principales du Parlement concernant la directive:


  • un certain nombre de concepts envisagés dans le règlement, tels que le profilage, le consentement explicite, l'utilisation d'un langage clair et simple, ainsi que la nomination d'un délégué à la protection des données, devraient également s'appliquer à la directive, selon le mandat de négociation du Parlement;

  • les données personnelles pourraient être transférées à des pays tiers ou des organisations internationales seulement si le transfert est nécessaire aux fins de la directive, si le contrôleur du pays tiers ou de l'organisation est une autorité publique, et si le niveau de protection des données est le même que celui fixé dans la directive. Les transferts seraient également autorisés si la Commission européenne décide que le pays tiers ou l'organisation protègent adéquatement les données ou si des sauvegardes appropriées sont établies par un instrument juridiquement contraignant (article 33);

  • les États membres devraient garantir que des informations claires et facilement compréhensibles soient données à la personne concernée quant au traitement de ses données et à ses droits principaux, tels que le droit d'accès, de rectification et d'effacement de ses données, le droit d'introduire une plainte et d'aller en justice, et le droit à une indemnisation en cas de traitement illégal. Ces droits devraient être exercés gratuitement (article 9 bis, articles 11-17);

  • les données doivent être traitées de façon à les protéger contre un traitement non-autorisé ou illicite et contre la perte, la destruction et les dommages accidentels (article 4);

  • les données personnelles ne devraient pas être utilisées dans un autre but que celui pour lequel elles ont été collectées. Elles doivent être effacées si elles ne sont plus nécessaires à l'objectif initial, affirment les députés. Ils ajoutent que les États membres doivent veiller à ce que des limites de temps soient fixées pour l'effacement de ces données (article 7 bis, article 4);

  • les activités de profilage visant une personne suspectée d'avoir commis un acte criminel seraient uniquement possibles si elles sont strictement nécessaires pour l'enquête d'un crime grave ou pour empêcher une menace imminente à la sécurité publique ou à la vie de citoyens (article 9);

  • de manière générale, les autorités répressives auraient accès aux données des personnes reconnues coupables d'une infraction pénale, des suspects (pour des motifs raisonnables), des victimes et d'autres personnes liées à une enquête pénale, comme les témoins. Les données des autres personnes seraient traitées seulement pour la durée nécessaire à l'enquête ou pour des fins ciblées et préventives (article 5); et

  • les députés ont introduit des limites strictes pour l'utilisation des données sensibles (article 8). Les données génétiques devraient uniquement être traitées pour empêcher une menace à la sécurité publique ou une infraction pénale spécifique (article 8 bis).
 
 

Définitions clés

Données à caractère personnel


Les "données personnelles" représentent toutes les informations concernant la vie privée, professionnelle ou publique d'un individu. Il peut s'agir d'un nom, d'une photo, d'une adresse email, de données bancaires, de commentaires sur les réseaux sociaux, d'informations médicales ou de l'adresse IP de l'ordinateur de la personne concernée.


Contrôleur de données


Les "contrôleurs de données" décident des conditions, des objectifs et du mode de traitement des données. Il peut s'agir d'individus, d'entreprises ou d'autorités publiques. Parmi les exemples d'individus qui contrôlent des données figurent les médecins, les pharmaciens et les hommes politiques, qui conservent des données sur leurs patients, clients et électeurs.


Processeur de données


Les "processeurs de données" traitent des informations personnelles pour le compte et sous l'autorité des contrôleurs de données mais ne prennent pas de décisions relatives aux conditions, objectifs et moyens de traitement. Par exemple, les entreprises qui gèrent les registres de personnel, les comptables et les bureaux d'études de marché sont des processeurs de données lorsqu'ils traitent des informations personnelles au nom d'autres organismes (comme des entreprises ou des autorités publiques, qui seraient des contrôleurs de données dans ce cas). Cependant, s'ils décident des conditions, des objectifs ou agissent au-delà des instructions des contrôleurs, ils deviennent alors des contrôleurs de données pour cette activité spécifique de traitement.


Sujet des données


Les données à caractère personnel sont utilisées pour identifier une personne physique. Cette personne est le "sujet des données".


 
 

Faits et chiffres

Un record de 3133 amendements à la proposition de règlement ont été déposés en commission des libertés civiles. Avec les amendements déposés dans les avis en commission de l'industrie (417), en commission du marché intérieur (226), en commission de l'emploi (27) et en commission des affaires juridiques (196), le nombre total d'amendements s'élève à 3999. Il s'agit du plus grand nombre d'amendements jamais déposés pour un seul dossier législatif au Parlement.


Les groupes politiques du Parlement ont négocié 91 amendements de compromis, combinant les amendements déjà déposés, afin de faciliter le vote sur le règlement.


673 amendements à la proposition de directive ont été déposés en commission des libertés civiles. Avec les amendements déposés pour l'avis en commission des affaires juridiques (98), le nombre total d'amendements s'élève à 771.


Les groupes politiques du Parlement ont négocié 64 amendements de compromis, combinant les amendements déjà déposés, afin de faciliter le vote sur la directive.


La liste de vote pour le règlement compte 261 pages et celle pour la directive 57 (318 pages au total).


Au moment du vote en plénière en mars 2014, la réforme sur la protection des données avait été débattue pendant 25 mois. Les débats officiels en commission des libertés civiles ont duré environ 30 heures. Les négociations informelles entre les groupes politiques ont duré 250 heures.


Le mandat de négociation du Parlement pour le règlement a été adopté par 51 voix pour, une voix contre et 3 abstentions.


Le mandat de négociation du Parlement pour la directive a été adopté par 47 voix pour, 4 voix contre et une abstention.

 
 

Quels sont les principaux députés responsables de cette réforme?

• Jan Philipp Albrecht (Verts/ALE, DE) est le rapporteur pour le règlement.

• Marju Lauristin (S&D, ET) est le rapporteur pour la directive.


L'équipe de négociation du Parlement pour le règlement sera composée de: Claude Moraes (S&D, UK), président de la commission des libertés civiles, Jan Philipp Albrecht (Verts/ALE) (rapporteur), ainsi qu'Axel Voss (PPE, DE), Marju Lauristin (S&D, ET), Timothy Kirkhope (ECR, UK), Sophia in't Veld (ADLE, NL), Cornelia Ernst (GUE/NGL, DE) et Kristina Winberg (EFDD, SV) en tant que rapporteurs fictifs.


L'équipe de négociation du Parlement pour la directive sera composée de: Claude Moraes (S&D, UK), président de la commission des libertés civiles, Marju Lauristin (S&D, ET) (rapporteur), ainsi qu'Axel Voss (PPE, DE), Timothy Kirkhope (ECR, UK), Sophia in't Veld (ADLE, NL), Cornelia Ernst (GUE, DE) ,Jan Philipp Albrecht (Verts/ALE, DE), et Kristina Winberg (EFDD, SV) en tant que rapporteurs fictifs.

 
 

Prochaines étapes

Le Parlement, le Conseil et la Commission mèneront désormais des négociations tripartites en vue de conclure un accord final sur le règlement relatif à la protection des données avant fin 2015.


Les États membres doivent encore se mettre d'accord sur leur mandat de négociations à propos de la directive. Les députés demandent aux pays de l'UE de parvenir à un accord à ce sujet d'ici octobre 2015 et soulignent que le règlement et la directive doivent être négociés ensemble.


L'objectif du Parlement est de conclure un accord sur le règlement et la directive avant fin 2015.


Une fois adopté, les États membres disposeront d'un délai de deux ans pour appliquer le règlement et pour transposer la directive dans leur droit national.

 
 

Dates clés au Parlement

  • 25.01.2012: propositions de règlement et de directive de la Commission
  • 29.05.2012: séminaire organisé par la commission des libertés civiles
  • 9-10.10.2012: réunion interparlementaire - Inspirer la confiance dans un monde numérique et global
  • 10.01.2013: présentation des projets de rapport par MM. Albrecht et Droutsas
  • 23.01.2013: vote sur l'avis de la commission du marché intérieur
  • 20.02.2013: vote sur l'avis de la commission de l'industrie
  • 21.02.2013: vote sur l'avis de la commission de l'emploi
  • 27.02.2013: délai pour le dépôt des amendements en commission des libertés civiles
  • 19.03.2013: vote sur l'avis de la commission des affaires juridiques
  • 20.03.2013: premier débat sur les amendements en commission des libertés civiles
  • 6-7.05.2013: deuxième débat sur les amendements en commission des libertés civiles
  • 9-07-2013: présentation de l'évolution des négociations avec les groupes politiques
  • 21.10.2013: vote sur le mandat de négociations en commission des libertés civiles
  • 12.03.2014: vote en plénière, première lecture
  • 15.06.2015: approbation par le Conseil de son approche générale
  • 24.06.2015: première réunion de trilogue entre le Parlement, le Conseil et la Commission
  • Second semestre 2015: négociations entre le Parlement et le Conseil
  • Avant fin 2015: accord entre le Parlement et le Conseil
 
 
   
Contacts