Le Conseil a adopté sa position en première lecture en vue de l'adoption du règlement général sur la protection des données. Le règlement proposé, en harmonisant les règles en vigueur dans l'Union européenne en matière de protection des données, a pour objectifs de renforcer les droits des personnes physiques en matière de protection des données, de faciliter le libre flux des données à caractère personnel dans le marché unique et de réduire la charge administrative.
La position du Conseil en première lecture conserve les objectifs de la directive 95/46/CE, à savoir: la préservation des droits en matière de protection des données et le libre flux des données. Parallèlement, elle s'efforce d'adapter les règles actuellement en vigueur pour tenir compte du volume sans cesse croissant de données à caractère personnel qui font l'objet d'un traitement en raison des évolutions technologiques et de la mondialisation.
Les éléments clés de la position du Conseil en première lecture sont les suivants :
Champ d'application : la position du Conseil prévoit que le règlement général s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés.
De plus, la position du Conseil renforce la responsabilité des responsables du traitement (chargés de déterminer les finalités et les moyens du traitement de données à caractère personnel) et des sous-traitants (chargés de traiter des données à caractère personnel pour le compte du responsable du traitement). Elle met les responsables du traitement et les sous-traitants sur un pied d'égalité en prévoyant un champ d'application territorial couvrant tous les responsables de traitement et tous les sous-traitants, qu'ils soient ou non établis dans l'Union.
Principes relatifs au traitement des données à caractère personnel : s’agissant du principe de licéité du traitement, la position du Conseil s'appuie sur la directive 95/46/CE pour préciser que le traitement de données à caractère personnel n'est licite que si au moins une des conditions suivantes est remplie:
- la personne concernée a consenti clairement et explicitement au traitement pour une ou plusieurs finalités spécifiques; un régime de protection particulier est prévu lorsque des enfants donnent leur consentement dans le cadre d'une offre de services de la société de l'information ;
- le traitement est nécessaire : i) à l'exécution d'un contrat; ii) au respect d'une obligation légale; iii) à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique; iv) à l'exécution d'une mission d'intérêt public ; v) aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.
La position du Conseil :
- permet aux États membres de maintenir ou d'introduire des dispositions plus spécifiques pour adapter l'application des règles énoncées dans le règlement si les données font l'objet d'un traitement pour respecter une obligation légale ou si ce traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
- prévoit qu'un traitement pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées initialement n'est licite que si ce traitement ultérieur est compatible avec les finalités pour lesquelles les données à caractère personnel ont été traitées initialement.
Renforcement des moyens d'action des personnes concernées : la position du Conseil accorde des droits renforcés en matière de protection des données et soumet les responsables du traitement à des obligations. Les droits des personnes concernées englobent :
- le droit à l'information: ces informations doivent être fournies de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée à un enfant ;
- le droit d'accès aux données à caractère personnel, c’est-à-dire le droit d'obtenir du responsable du traitement la confirmation que des données la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès aux informations énumérées dans le règlement ;
- le droit de rectification ;
- le droit à l'effacement des données à caractère personnel, y compris le «droit à l'oubli» ;
- le droit à la limitation du traitement ;
- le droit à la portabilité des données : les personnes concernées auraient le droit de recevoir les données les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de transmettre ces données à un autre responsable du traitement ;
- le droit d'opposition et le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage. À cet égard, il est précisé que, lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée aurait le droit de s'opposer à tout moment au traitement des données à caractère personnel la concernant.
Responsable du traitement et sous-traitant : la position du Conseil établit le cadre juridique régissant la responsabilité concernant tout traitement de données à caractère personnel effectué par un responsable du traitement ou, pour son compte, par un sous-traitant.
Conformément au principe de responsabilité, le responsable du traitement serait tenu de mettre en œuvre des mesures techniques et organisationnelles appropriées et d'être en mesure de démontrer la conformité de ses opérations de traitement avec le règlement. À cet égard, le règlement fixe des règles relatives aux responsabilités du responsable du traitement concernant :
- les analyses d'impact, lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ;
- la tenue de registres des activités de traitement,
- les violations de données,
- la désignation d'un délégué à la protection des données et
- les codes de conduite, les mécanismes de certification, les labels et les marques en matière de protection des données.
Transfert de données à caractère personnel vers des pays tiers : le niveau de protection garanti par l'Union ne devrait pas être compromis lorsque des données à caractère personnel de citoyens de l'UE sont transférées vers des pays tiers. En règle générale, tout transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ne pourrait être effectué que si les responsables du traitement et les sous-traitants se conforment aux règles prévues par le règlement.
Autorités de contrôle : chaque État membre devrait prévoir qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du règlement sur leur territoire. Les autorités de contrôle et leurs membres devraient exercer en toute indépendance et avec intégrité les missions et les pouvoirs dont ils sont investis.
Comité européen de la protection des données : la position du Conseil institue le comité européen de la protection des données en tant qu'organe de l'Union possédant la personnalité juridique, en vue d'assurer l'application correcte et cohérente du règlement
Voies de recours, responsabilité et sanctions : un ensemble détaillé de règles est prévu en vue de permettre aux personnes concernées de disposer de plusieurs voies de recours, notamment de réclamer réparation en cas de préjudice résultant d'une violation du règlement.
En vue de garantir le respect des dispositions du règlement, la position du Conseil prévoit que les autorités de contrôle peuvent imposer des amendes administratives pouvant aller jusqu'à 20 millions EUR ou 4 % du chiffre d'affaires mondial total d'une entreprise.