Q&R: Les nouvelles règles de l'UE sur la protection des données placent les citoyens aux commandes
La nouvelle législation européenne sur la protection des données vise à créer un ensemble de règles uniformes à travers l'UE adaptées à l'ère numérique, à améliorer la sécurité juridique et à renforcer la confiance des citoyens et entreprises dans le marché unique du numérique. Un consentement clair et positif au traitement des données, le droit à l'oubli et de lourdes amendes pour les entreprises enfreignant les règles sont quelques-unes des nouvelles fonctionnalités.
Le Parlement européen a finalisé plus de quatre ans de négociations lorsque les députés ont adopté la législation en commission des libertés civiles le mardi 12 avril suivi d'un vote en plénière à Strasbourg le jeudi 14 avril.
La révision porte sur deux textes législatifs: un règlement général sur le traitement des données personnelles dans l'UE et une directive sur les données traitées par les autorités policières et judiciaires qui forment ensemble le paquet sur la protection des données.
Le règlement remplace la directive sur la protection des données de l'UE, qui date de 1995 alors qu'Internet était encore à ses débuts, et convertit le patchwork actuel des législations nationales en un ensemble unique de règles en vue de donner aux citoyens plus de contrôle sur leurs propres informations privées dans un monde numérique de téléphones intelligents, de médias sociaux, de services bancaires sur Internet et de transferts mondiaux. Cela permet également de créer la clarté juridique pour les entreprises afin de stimuler l'innovation et le développement futur du marché unique du numérique. Le règlement sur la protection des données renforce la confiance et fournit un niveau élevé de protection pour tous les citoyens de l'UE, quelles que soient les circonstances dans lesquelles leurs données personnelles sont traitées, sauf si elles le sont à des fins d'application de la loi (ce cas est couvert par la directive) et s'applique également à des entreprises hors Europe ciblant les consommateurs de l'UE.
La directive sur la protection des données couvre le traitement des données par le secteur de la police et de la justice pénale. Elle vise à assurer que les données des victimes, des témoins et des suspects de crimes soient dûment protégées dans le cadre d'une enquête pénale ou d'une action d'application de la loi. Dans le même temps, des législations plus harmonisées faciliteront également la coopération transfrontalière de la police ou des procureurs afin de lutter plus efficacement contre la criminalité et le terrorisme à travers l'Europe.
Après que le Conseil ait adopté officiellement l'ensemble du paquet sur la protection des données en première lecture le vendredi 8 avril, le Parlement a enfin pu conclure plus de quatre années de négociations qui ont débuté lorsque la Commission a présenté ses propositions en janvier 2012. Le Parlement a voté sa position en première lecture en mars 2014, mais a dû attendre plus d'un an pour que les États membres conviennent de leur position de négociation commune avant que les trilogues entre le Parlement, le Conseil et la Commission puissent commencer en juin 2015. Dans le cas de la directive, le Conseil a conclu un compromis sur son mandat de négociation en octobre 2015.
Un accord informel a été conclu le 15 décembre 2015 et adopté par le Parlement et le Conseil respectivement les 17 et 18 décembre. Depuis lors, le Parlement a demandé à plusieurs reprises au Conseil d'achever ses travaux sur les textes pour permettre une entrée en vigueur rapide des exigences plus strictes en matière de protection des données. En particulier, une majorité de députés ont toujours souligné la nécessité urgente et indispensable de garantir un niveau suffisant de protection des données comme énoncé dans la directive sur la protection des données, avant de permettre la collecte massive de données relatives aux passagers de vol prévue par la directive européenne PNR, qui sera également votée lors de la session plénière d'avril 2016 à Strasbourg.
Le vote en plénière qui a eu lieu le jeudi 14 avril a marqué la dernière étape de la procédure législative. Le règlement sur la protection des données est entré en vigueur le 24 mai 2016, soit 20 jours après sa publication au Journal officiel de l'UE le 4 mai 2016. Ses dispositions sont directement applicables dans tous les États membres. Les États membres ont deux ans pour transposer les dispositions de la directive dans leur législation nationale, onc avant le 4 mai 2018.