Par David GRANEL
La législation européenne actuelle sur la protection des données date de 1995. Elle a donc 20 ans. Depuis, Internet a envahi le quotidien de 250 millions d’utilisateurs. Le volume et la qualité des données ainsi traitées ne correspondent plus au cadre mis en place par l’Union Européenne.
De nouvelles mesures doivent être aujourd’hui mises en place afin de s’adapter à la numérisation des services, aux nouvelles donnes du e-commerce, des communications et aux changements dans la vie quotidienne des européens en général. De plus en plus de données personnelles sont aujourd’hui collectées, mais le contrôle sur leur utilisation reste faible.
Les objectifs du « paquet » européen en matière de protection des données personnelles
Les nouvelles règles devront actualiser les principes juridiques existants pour s’appliquer au nouvel environnement en ligne. L’objectif de la réforme est donc de garantir une protection plus efficace du droit fondamental à la protection des données et d’accroître la protection juridique des entreprises ayant recours au traitement des données personnelles.
A l’heure de la mondialisation, les données numériques sont transfrontalières par nature. Si la sécurité juridique des données n’est pas forcément garantie dans certaines parties du monde, il convient de s’accorder au niveau européen pour constituer des règles communes et un système juridique unifié. Ce cadre légal et réglementaire permettra un jeu équitable pour toutes les entreprises qui tenteront de gagner la confiance des consommateurs dans le marché unique européen. En effet, un haut niveau de protection des données personnelles est une garantie afin que les européens donnent leur confiance aux entreprises qui pourront alors se développer. La protection du consommateur européen est donc l’enjeu majeur de la réforme.
Les étapes de constitution du « paquet » européen en matière de protection des données personnelles
Les parlementaires européens de presque toutes les sensibilités ont souligné qu’il était maintenant devenu nécessaire de fixer des normes unifiées de protection des données dans toutes les législations européennes. C’est particulièrement le cas en ce qui concerne le règlement sur l’Office européen de police (Europol), actuellement en cours de négociation, et le système de données des passagers aériens de l’UE.
Le 24 juin 2015, la Commission européenne, le Parlement et le Conseil ont débuté les travaux rédactionnels dans le cadre de la réforme européenne en matière de protection des données personnelles.
Ce trilogue vise à parvenir à un accord sur les projets de Règlement et de Directive à la fin de l’année 2015, pour une application dès 2016.
Si les positions convergent sur de nombreux points, des accords devront être trouvés sur certains points :
- Les transferts de données personnelles hors d’Europe : Pour la Commission européenne, les transferts de données ne devraient être autorisés que lorsque les conditions du règlement relatives au transfert à un pays tiers sont respectées. Les individus et les entreprises doivent être certains que leurs données sont protégées par des normes strictes lorsqu’elles sortent de l’Union européenne.
- L’implantation d’entreprises non européennes sur le sol européen : En ce qui concerne le cas des entreprises de pays tiers s’implantant sur le marché européen, les dispositions du règlement devraient être respectées ainsi que les règles couvrant les transferts internationaux de données.
- Les nouvelles obligations contractuelles entre prestataires de services et responsables de traitement : Le projet de règlement imposerait entre autres de nouvelles obligations aux prestataires de services et aux responsables de traitement. Ils devront renforcer l’encadrement contractuel des relations les unissant.
- La mise en place d’un guichet unique : Une CNIL européenne est-elle souhaitable ou envisageable ?
- Le principe de finalité des traitements : L’intérêt légitime du responsable de traitement pourrait-il ou non justifier une autre utilisation des données personnelles des individus ?
La question des sanctions toujours en débat
Pour ce qui est des sanctions à imposer aux entreprises qui ne respecteraient pas les règles de protection des données personnelles, des divergences se font jour entre le Parlement européen et la Commission et le Conseil. Ces deux derniers souhaitent des sanctions à hauteur d’1 million d’euros ou de 2% du chiffre d’affaires. Quant aux Parlementaires, ils envisagent plutôt des amendes pouvant aller jusqu’à 100 millions d’euros ou 5% du chiffre d’affaires. Les députés souhaitent donc se rapprocher de la législation sur la concurrence qui prévoit des amendes allant jusqu’à 10% du chiffre d’affaires.
Néanmoins, ces sanctions ne seraient appliquées que dans des cas relevant de l’exception. En effet, les trois institutions européennes sont d’accord pour une application des sanctions au cas par cas, selon des critères objectifs à définir.
#CNIL, #donnéespersonnelles, #ecommerce, #avocat, #internet, #ecommercesitemarchand
Partager la publication "Le projet de « paquet » européen en matière de protection des données personnelles"
- Cloud : Déplacement et localisation physique des données à caractère personnel hors d’Europe
- FACEBOOK dans la tourmente des « class actions »
- Les marques et les réseaux sociaux
- Régulation d’Internet, la parole est aux internautes
- Maître Gérard HAAS vous donne rendez-vous lors du salon e-marketing du 14 au 16 avril 2015