Parlement européen photographié par Cédric Puisney
Parlement européen photographié par Cédric Puisney

Le Parlement européen adopte le paquet sur la protection des données

Paquet sur la protection des données

Le Parlement européen a aujourd’hui voté le paquet sur la protection des données.

Le paquet est composé du Règlement général sur la protection des données, qui remplace la directive 95/46/CE sur la protection des données de 1995 ; et d’une directive sur le traitement des données pour prévenir, enquêter, détecter ou poursuivre les infractions pénales ou appliquer des sanctions pénales, qui abroge la décision-cadre 2008/977/JAI du Conseil.

Il aura fallu quatre ans pour obtenir un consensus, et discuter 3 999 amendements, le plus grand nombre d’amendements jamais déposés pour un seul dossier législatif au Parlement.

Le règlement entrera en vigueur 20 jours après sa publication au Journal officiel de l’UE. Ses dispositions seront directement applicables dans tous les États membres après un délai de deux ans, durant lequel ils devront transposer les dispositions de la directive dans leur législation nationale.

Particuliers

Consentement clair et explicite (article 7)

Une personne devra donner, de manière active, son consentement clair et explicite au traitement de ses données privées. Par exemple cocher une case lors de la visite d’un site Internet. Le silence, des cases cochées par défaut ou l’inactivité ne constitueront donc pas un consentement. À l’avenir, une personne pourra également plus facilement revenir sur son consentement.

Protection spéciale pour les enfants (article 8)

En dessous d’un certain âge, fixé par chaque État membre entre 13 et 16 ans, les enfants devront avoir une autorisation parentale pour ouvrir un compte sur les réseaux sociaux, tels que Facebook, Instagram ou Snapchat.

L’objectif de cette disposition spécifique est de protéger les enfants contre la pression les poussant à partager leurs données personnelles sans en réaliser pleinement les conséquences. Cela n’empêchera pas les adolescents d’utiliser Internet pour obtenir des informations, des conseils, des formations, etc.

Les enfants en dessous de la limite d’âge ne devront pas demander à leurs parents la permission d’utiliser des services de conseil ou de prévention offerts directement à leur intention.

Droit d’être informé dans un langage simple et clair (articles 12, 13 et 14)

Avant la collecte des données, des informations devront être données dans un langage clair et simple.

Droit à l’oubli (article 17)

Les personnes disposeront du droit à l’oubli (à ne pas confondre avec le droit au déréférencement) c’est-à-dire l’effacement de leurs données personnelles lorsqu’elles ne souhaitent plus que leurs données soient traitées, à condition qu’il n’existe aucune raison légitime de les conserver. L’entreprise hébergeant les données devra également envoyer la demande à toute autre partie qui duplique les données.

Ce droit est limité lorsque les données sont nécessaires à des fins historiques, statistiques ou de recherche scientifique, pour des raisons de santé publique, ou pour l’exercice du droit à la liberté d’expression. Le droit à l’oubli ne s’appliquerait pas non plus lorsque la détention des données à caractère personnel est nécessaire pour la conclusion d’un contrat ou lorsque la loi l’exige.

Limitations au recours au profilage (article 21)

Les nouvelles dispositions fixent des limites au profilage, une technique utilisée pour analyser ou prédire les performances d’une personne au travail, sa situation économique, sa localisation, sa santé, ses préférences, sa fiabilité ou son comportement grâce au traitement automatique de ses données personnelles.

Le profilage sera uniquement autorisé si la personne concernée donne son consentement, si la loi le permet et s’il est nécessaire à la conclusion d’un contrat. Il ne devra pas entraîner de discrimination, se baser uniquement sur des données sensibles (telles que les données révélant, entre autres, l’origine ethnique, les opinions politiques, la religion, l’orientation sexuelle, les données génétiques ou biométriques, des sanctions administratives ou des suspicions), ni se baser uniquement sur le traitement automatique des données.

Droit d’être informé en cas de piratage des données (articles 33 et 34)

Les entreprises et organisations seront tenues d’informer sans délai l’autorité de surveillance nationale en cas de violation grave des données afin que les utilisateurs puissent prendre les mesures appropriées.

 

Entreprises : les contraintes

Le respect de la vie privée comme norme

À l’avenir, les entreprises devront concevoir des fonctionnalités par défaut et des produits de sorte à collecter et traiter le moins possible de données à caractère personnel.

Responsable de la protection des données

Les entreprises devront désigner un responsable de la protection des données si elles gèrent des quantités importantes de données sensibles ou surveillent le comportement de nombreux consommateurs. Les entreprises dont l’activité principale n’est pas le traitement de données seront exemptées de cette obligation afin d’éviter les procédures administratives.

Amendes

Des amendes allant jusqu’à 4 % du chiffre d’affaires mondial des entreprises devraient constituer un véritable moyen de dissuasion à enfreindre les règles.

Entreprises : les avantages

Système centralisé

Avec le nouveau système centralisé pour les entreprises, ces dernières auront à faire face à une autorité de surveillance unique, et plus 28, ce qui leur permettra de faire des affaires dans l’UE de manière plus simple et moins coûteuse. Elles économiseront 2,3 milliards d’euros par an d’après la Commission européenne.

Dans le même temps, cela aura également un impact sur la surveillance des géants d’Internet avec des bureaux dans plusieurs pays de l’UE.

Des règles applicables aux entreprises du monde entier.

Toutes les entreprises ciblant les consommateurs de l’UE, indépendamment du fait qu’elles soient établies à l’intérieur ou à l’extérieur de l’UE, devront appliquer les mêmes règles. Cela contribuera à créer une concurrence équitable pour toutes les entreprises opérant au sein de l’Union.

Des règles qui tiennent compte de la taille des entreprises

Dans un certain nombre de cas, les obligations des contrôleurs et processeurs de données sont adaptés à la taille de l’entreprise et / ou à la nature des données en cours de traitement pour éviter les formalités administratives et la création de charges disproportionnées pour les plus petites entreprises.