Le Parlement européen et le Conseil de l’Union européenne se sont mis d’accord au sujet de la future modification du cadre juridique de l'UE sur la protection des données personnelles. La Commission européenne a publié le contenu de la reforme qu’elle propose, aboutissement d’âpres débats entamés en 2012. La reforme concerne aussi bien le droit des citoyens que les futures règles en la matière pour les entreprises. En cas de feu vert du Parlement européen et du Conseil début 2016, les nouvelles règles entreront en vigueur deux ans plus tard.
Obligation d'informer sans délais sur les violations données
Du côté des individus, le texte vise à leur donner davantage le contrôle de leurs données personnelles. Le texte fait notamment état d’un droit d'être informé en cas d'accès non autorisé aux données personnelles. Ce droit signifie que les entreprises et organisations doivent notifier à l’autorité nationale de contrôle, dans les plus brefs délais et de façon proactive, les violations de données graves, afin que les utilisateurs puissent prendre les mesures appropriées. Les nouvelles règles permettront en théorie aux citoyens de disposer de plus d’informations sur la façon dont leurs données sont traitées.
La reforme prévoit en outre un droit à la portabilité des données personnelles d'un prestataire de services à un autre et contient également un droit à l’oubli «plus clair», permettant aux personnes qui le désirent de voir leurs données supprimées dès lors qu'aucun motif légitime ne justifie leur conservation. Un autre article de la reforme fait déjà couler beaucoup d’encre dans les médias généraliste. Il concerne l’interdiction aux moins de 16 ans de s’inscrire à des médias sociaux tels que Facebook ou Instagram.
Les entreprises devront nommer un délégué aux données
Pour les entreprises, la Commission européenne propose des règles qui, selon elle, n’entravent pas le commerce, mais au contraire «créent des opportunités commerciales et encouragent l’innovation.» Un droit unique à l’échelle européenne devrait rendre moins coûteux l’exercice d’activités entrepreneuriales en Europe, précise le communiqué de l’UE. Lequel indique aussi que le règlement imposera que des garanties en matière de protection des données soient «intégrées aux produits et services dès la phase initiale de leur conception.»
La reforme exige également que les firmes européennes se dote d’un délégué à la protection des données (une exigence à laquelle les PME seront exemptées dans le cas où le traitement des données n’est pas leur cœur de métier). Par ailleurs, le règlement établi que les entreprises établies hors d’Europe devront se conformer à la réglementation européenne pour pouvoir offrir leurs services dans l’Union. En cas de violations de ces règles, les sanctions pourront atteindre jusqu’à 4% de chiffre d’affaires de l’entreprise. Digital Europe, un groupe de lobbying représentant les intérêts de firmes US comme Google, Apple, IBM ou Microsoft, n’a pas attendu la fin des négociations pour monter au front. Faisant craindre à certains observateurs une édulcoration des règles de la réforme proposée. Mais cela n’a finalement pas été le cas.
Commentaire