protection des données

VIE PRIVEE UE/US : Le Congrès américain a révoqué les règles relatives à la vie privée dans le secteur des télécoms : quelles conséquences ?

Après le Sénat, la chambre des Représentants a supprimé hier les règles protectrices de la vie privée qui avaient été imposées aux fournisseurs d’accès Internet. Ces règles qui n’étaient pas encore applicables imposaient à ces sociétés de recueillir le consentement de leurs clients avant de commercialiser leurs données (par exemple leur historique de navigation). Ce vote constitue un nouveau signal de recul sur le terrain de la vie privée et la Commission européenne s’est inquiétée ce matin de ces nouvelles remises en causes des droits des citoyens européens sur le territoire américain, à l’occasion du traitement de leurs données personnelles.

A titre provisoire, plusieurs conséquences sont envisageables :

  • Une remise en cause éventuelle du Privacy Shield UE-US, au vu de l’amoindrissement des garanties apportées par les Etats-Unis alors que ces garanties constituent un pan essentiel de cet accord (du fait des exigences formulées par le droit européen et de la jurisprudence de la CJUE) ;

  • Une déstabilisation des autres accords existants qui incluent des volets « protection des données personnelles » : c’est le cas par exemple de l’accord concernant le transfert des données passagers (PNR) ;

  • Le risque d’une évolution législative diamétralement opposée entre les Etats-Unis et l’Union européenne en termes de protection des données personnelles, rendant le cadre juridique applicable plus complexe pour l’ensemble des acteurs économiques ;

  • Des difficultés accrues pour les opérateurs devant appliquer et respecter tant les législations européenne et américaine en la matière ;

  • La montée d’une forme d’inquiétude quant au traitement et à l’utilisation des données personnelles par ces fournisseurs d’accès internet, inquiétude qui pourrait à terme générer des risques de réputation ou favoriser la montée en puissance de solutions alternatives.

Le déplacement de V. Jourova à Washington la semaine prochaine au sujet du Privacy Shield sera une occasion de tester les préoccupations européennes comme leur accueil par les autorités américaines.

Lock on the laptop keyboard background

Lock on the laptop keyboard background

Objects connectés: rapport d'information de l'Assemblée nationale du 10 janvier 2017, quelles perspectives ?

Corinne Erhel et Laure de la Raudière ont présenté leur rapport d’information consacré à l’internet des objets le 10 janvier dernier dans le cadre des travaux de la commission des affaires économiques de l’Assemblée Nationale.  

Exhaustif, ce rapport embrasse toutes les questions posées par les objets connectés : du fait de pratiques extrêmement diverses (santé, agriculture, maintenance ou surveillance), l’internet des objets suscite en effet de très défis concrets, à commencer par la question d’un éventuel contrôle ou d’une régulation de ces nouvelles innovations.

 

Ce rapport souligne aussi le potentiel des objets connectés dans une perspective nationale, en se penchant sur les secteurs français en pointe (avec un focus sur certaines institutions comme l’INRIA), l’organisation des différentes formes de soutien à l’innovation (notamment avec la French Tech) et la question du financement de l’innovation. Le relevé de ces points forts s’accompagne aussi d’une réflexion sur les infrastructures nécessaires à terme (connexion sans fil, réseaux bas débit ou transition vers la 5G) comme sur l’environnement fiscal et règlementaire de ce secteur. Le déploiement d’un écosystème français des objets connectés nécessite également un effort de formation à la transition numérique, volet indispensable pour une approche globale.

 

C’est une tonalité positive et volontariste qui est adoptée par ce rapport : réussir le virage de l’internet des objets en France est à portée de main pour Corinne Erhel et Laure de la Raudière, à condition de relever certains défis. Cela implique d’améliorer l’environnement fiscal et réglementaire de l’innovation et la protection de l’innovation à travers certaines initiatives concrètes : renforcement du capital-risque, accroissement du nombre de business angels et du recours au financement participatif, meilleure structuration de l’accompagnement des entreprises, start-ups ou non.

 

Ce rapport appelle cependant deux remarques.

 

Le développement de l’internet des objets doit aussi s’appuyer sur une démarche cohérente en matière de protection des données personnelles et notamment au vu de la masse et des flux de données qui seront potentiellement générés. L’utilisation de ces données, leur exploitation comme leur circulation ne sont pas neutres et généreront à terme des écosystèmes particulièrement importants. La sécurité de ces données, leur contrôle, les modalités de consentement, la protection de la vie privée dans le cadre d’objets connectés touchant à la santé par exemple ou les risques de profilage auront une sensibilité particulière. Ces aspects doivent être pris en compte dans le cadre de la mise en œuvre en 2018 du règlement européen sur la protection des données personnelles mais pas seulement.

 

En effet, s’il n’existe pas encore de cadre juridique spécifique applicable aux objets connectés, un tel dispositif pourrait être proposé par Bruxelles pour faciliter le développement d’un « marché intérieur » de l’internet des objets. La Commission européenne l’a dit à plusieurs reprises, le G29 qui regroupe les autorités de protection des données également. Ces travaux préparatoires doivent donc être anticipés dès aujourd’hui par les professionnels de l’internet des objets pour aboutir à une sécurité juridique renforcée, vis-à-vis de leurs produits comme des données qu’ils génèrent.

PROTECTION DES DONNEES PERSONNELLES: Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données.

PROTECTION DES DONNEES : Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données. Droit de la concurrence et protection des données (https://twitter.com/dbfbxl/status/807210302743920640?lang=fr ) :

 

Cette session organisée par la Délégation des Barreaux de France avait pour objet d'évoquer les enjeux croisés du droit de la concurrence, de la détention de données, du Big Data et de la protection des données. ( https://www.dbfbruxelles.eu/wp-content/uploads/2016/12/PROGINSCRIPTIONCONCURRENCE.pdf )

 

De nombreux points ont été évoqués et notamment la possibilité d'une appréciation ou non par les autorités de la concurrence du respect ou non des règles de protection des données personnelles. Ou de l'impact de la législation sur la protection des données sur d'autres politiques et notamment en matière de concurrence. Les récents rapports des autorités française et allemande de la concurrence ont été évoqués à ce sujet ( http://www.autoritedelaconcurrence.fr/doc/rapport-concurrence-donnees-vf-mai2016.pdf ).

PRIVACY SHIELD ET PROTECTION DES DONNEES: Publication par Jérôme Deroulez d'un article dans le Village de la Justice

Article paru dans le Village de la Justice le 19 février 2016 - ( https://www.village-justice.com/articles/sphere-securite-Safe-Harbour,21514.html )  

Le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a invalidé la décision de la Commission européenne du 26 juillet 2000 (dite « Safe Harbour ») qui constatait que les Etats-Unis assuraient un niveau de protection adéquat aux données transférées depuis l’Union européenne, marquant sa préoccupation pour la protection des données personnelles.

Le 2 février dernier, la Commission européenne a annoncé avoir trouvé un accord avec les autorités américaines sur un « bouclier de protection » destiné à remplacer le « Safe Harbour », accord dont le contenu devrait être rendu public dans les prochaines semaines. « Bouclier de papier » selon ses détracteurs, socle plus protecteur des droits fondamentaux pour la Commission. Un état des lieux s’impose.

 

Rappel:

 

La décision «  Safe Harbour » a été attaquée par Maximilian Schrems, ressortissant autrichien et utilisateur de Facebook depuis 2008, qui avait déposé plainte auprès de l’autorité irlandaise de protection des données compétente du fait de l’installation en Irlande des serveurs européens de Facebook. Suite au rejet de cette plainte par l’autorité de contrôle irlandaise, M. Schrems avait introduit un recours devant la Haute cour de justice irlandaise. Celle-ci a sursis à statuer et saisi la CJUE d’une question préjudicielle afin de déterminer si l’autorité de contrôle nationale saisie était absolument liée par la décision d’adéquation de la Commission et, dans le cas contraire, si cette dernière autorité pouvait mener sa propre enquête.

 

Répondant à cette question préjudicielle, la CJUE a jugé que l’existence d’une décision d’adéquation de la Commission n’avait pas pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assurait pas un niveau de protection adéquat et le cas échant de suspendre le transfert des données. Elle a également invalidé la décision « Safe Harbour ».

 

PROTECTION DES DONNEES ET PRIVACY SHIELD

 

Cet arrêt revêt une portée fondamentale en ce qui concerne le droit de la protection des données en Europe, à la suite de l’arrêt Digital Right Ireland C-293/12 du 8 avril 2014, la CJUE rappelant au législateur européen la nécessité de prévoir des garanties effectives et concrètes, quitte à remettre en cause l’équilibre législatif et règlementaire européen actuel. Il emporte aussi de nombreuses conséquences.

 

Un arrêt et des réactions en chaîne

 

Suite aux délais fixés par le groupe de travail article 29 (dit G29) regroupant les autorités de contrôle en matière de protection des données, la Commission européenne s’était engagée à négocier un nouveau texte avant la fin du mois de janvier pour mettre un terme à la situation d’insécurité juridique ouverte par l’invalidation du Safe Harbour.

 

Le 2 février, la Commission a annoncé avoir trouvé un accord avec les Etats-Unis sur la base d’un nouveau « bouclier de protection » (« privacy shield »), sensé remplacer et améliorer le Safe Harbor sans donner le sentiment d’un Safe Harbor bis, un tel outil risquant d’emblée de faire l’objet de vives contestations par le Parlement européen et notamment sa commission des libertés civiles (LIBE).

 

Ce projet (« privacy shield ») n’a pas encore été rendu public. La Commission a publié un communiqué de presse évoquant ses grandes lignes, laissant cependant la porte ouverte à toutes les conjectures en dépit des termes rassurants qu’elle a utilisés :

  • obligations plus fortes mises à la charge des entreprises américaines exploitant les données de citoyens européens et renforcement des contrôles exercés par le département du commerce américain grâce à une coopération accrue avec les autorités de contrôle européennes ;

  • nouveaux mécanismes de contrôle des accès des autorités publiques américaines aux données concernées, monitoring régulier et suivi annuel conjoint de l’accord ;

  • mise en œuvre de plusieurs types de recours effectifs, sans précision, et notamment de modes alternatifs gratuits. Un nouveau médiateur doit aussi être désigné s’agissant d’accès possibles par les autorités nationales en matière de renseignement.

 

A la suite de ces déclarations, le collège des commissaires s’est engagé à présenter un projet de décision d’adéquation, après avis du G29 et consultation du comité des représentants du Conseil (comité article 31), conformément à la procédure prévue par les articles 25 et 31 de la directive 95/46/CE.

 

PROTECTION DES DONNEES ET TRANSFERTS DE DONNEES HORS UE

 

De son côté, lors de sa réunion des 2 et 3 février 2016, le G29 a rappelé sa très grande vigilance sur les conditions dans lesquelles des données pouvaient être transférées de l’Union européenne vers les Etats-Unis. Il a aussi souligné de façon liminaire, faute de texte à ce stade, que quatre exigences devraient être remplies :

  • traitement fondé sur des règles claires, précises et accessibles ;

  • application des principes de nécessité et de proportionnalité en lien avec les objectifs légitimes poursuivis ;

  • existence d’un mécanisme de contrôle indépendant d’une part et ;

  • voies de recours concrètes et effectives ouvertes aux personnes physiques d’autre part.

 

Le G29 a souligné ses préoccupations comme ses doutes au vu du cadre américain en vigueur.

 

Il a enfin marqué la nécessité de disposer avant fin février du contenu de l’accord pour un examen détaillé, se plaçant ainsi en position d’arbitre, avant des discussions décisives. 
Le Parlement européen (et notamment la commission LIBE) n’est associé qu’à la marge à cette procédure (dans le cadre du contrôle de l’exercice des compétences d’exécution de la Commission), ce qui ne l’empêchera pas de rester impliqué politiquement et de veiller aux équilibres du futur accord.

 

En tout état de cause, l’accord sur le futur « bouclier de protection » est lié à un compromis sur la mise en œuvre de voies de recours effectives.

 

RECOURS ET PROTECTION DES DONNEES

 

L’existence de voies de recours effectives, clé de voute d’un accord sur le futur « Privacy Shield » ?

 

Il faut souligner tout d’abord que la CJUE avait rappelé dans son arrêt du 6 octobre 2015 qu’une règlementation ne prévoyant « aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant […] ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective tel que consacré à l’article 47 de la Charte des droits fondamentaux », marquant l’importance de ce droit (§95).

 

De plus, la question des voies de recours constitue depuis une dizaine d’années l’un des points d’achoppement marquant des négociations transatlantiques en matière de protection des données, notamment dans le cadre du transfert des données PNR ou de l’accord TFTP. Si des compromis le plus souvent provisoires et assortis de clauses de rendez-vous ont pu être apportés, la jurisprudence de la CJUE fixe dorénavant des perspectives beaucoup plus exigeantes.

 

Il convient aussi de rappeler que l’existence de voies de recours a par ailleurs été insérée dans le futur règlement protection des données, comme une des conditions devant être prise en compte « notamment » par la Commission pour évaluer le caractère adéquat du niveau de protection (article 41 §2 a). Cette condition est un marqueur clair (avec d’autres) des discussions à venir.

 

La négociation du futur accord « parapluie » UE-USA présenté comme un socle de garanties et de droits au regard des transferts de données consentis par l’Union européenne en matière répressive est l’un des terrains où se discute le plus âprement cette question : en effet, cet accord finalisé le 8 septembre 2015 doit encore être formellement conclu et approuvé par le Parlement européen, en vertu des dispositions de l’article 218 du traité TFUE.

 

Pour convaincre le Parlement, la Commission avait souligné l’extension envisagée des dispositions du Privacy Act américain de 1974 aux citoyens européens à travers un « Judicial Redress Act » qui devrait être adopté avant la conclusion de l’accord « parapluie » : le texte a été voté par le Congrès le 11 février dernier, dans l’attente de sa signature à priori rapide par Barack Obama.

 

Si la portée juridique de ce texte reste à apprécier concrètement, sa portée politique et symbolique va largement au-delà de l’accord « parapluie » et témoigne que la mise en place de voies de recours effectives constitue un enjeu clé des négociations dans le domaine de la protection des données.

 

Le Parlement européen reste à convaincre, l’avis négatif de son service juridique du 14 janvier 2016 sur le projet d’accord « parapluie » UE-USA fondé sur l’absence de véritable voie de recours en témoigne.

 

QUEL PRIVACY SHIELD AU VU DU NOUVEAU CADRE EUROPEEN DE PROTECTION DES DONNEES?

 

Les futurs débats au sein du Conseil et du Parlement en vue de la conclusion de cet accord auront dès lors par effet de capillarité des connexions directes avec les discussions à venir sur le « Privacy Shield », et ce en dépit de leurs différences de nature juridique et de modalités d’adoption.

 

Les discussions entre l’Union européenne et les Etats-Unis dans ce domaine doivent-elles se concentrer sur ce point unique ? Certainement pas. Un document de travail du Parlement européen ébauche une comparaison des législations européennes et américaines en matière de protection des données et relève qu’au-delà de la question d’un recours effectif, de nombreuses autres garanties doivent également être apportées (supervision indépendante, principe de minimisation, surveillance et notification des failles de sécurité etc…), ces critères se rapprochant de ceux édictés par le G29 dans l’attente de la publication du texte du « Privacy Shield ».

Protection des données personnelles : vers de nouvelles règles européennes

Suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre 2015, le règlement et la directive du « paquet protection des données » devraient être formellement adoptés au printemps 2016, pour une entrée en application en 2018. Premier état des lieux de ces nouvelles règles et plus spécifiquement du règlement. Le « paquet protection des données » doit être formellement adopté au printemps 2016, suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, pour une entrée en application dans un délai de deux ans.

Bref rappel chronologique  :

Ce « paquet protection des données » (règlement et directive) avait été proposé par la Commission européenne le 25 janvier 2012, afin de remplacer et de moderniser la directive 95/46 et la décision-cadre de 2008, sur la protection des données personnelles.

Le processus de négociation depuis 2012 a été particulièrement complexe du fait des mutations intervenues depuis 1995 dans le domaine numérique et de leurs conséquences pratiques sur la protection des données (essor des usages liées à Internet, respect de la vie privée, propriété des données...).

Le nombre des acteurs potentiellement concernés par cette modernisation législative a également connu une croissance exponentielle, alors que la protection des données personnelles est devenu un enjeu de société très largement médiatisé (droit à l’oubli, surveillance de masse, big data, utilisation du cloud etc).

Du fait de ces éléments, le processus législatif de co-décision [1] entre Conseil, Parlement et Commission européenne a été le théâtre de divergences d’appréciation fortes entre institutions, voire en leur sein (entre Etats membres ou entre groupes politiques européens).

Le remplacement de la directive 95/46 par un règlement a aussi constitué un véritable enjeu puisque le futur texte sera un acte normatif à portée générale et contraignant pour les institutions, les Etats membres et les particuliers, sans transposition nationale.

En tout état de cause, l’accord intervenu entre le Parlement européen et le Conseil, marque une étape supplémentaire dans la construction du droit effectif à la protection des données personnelles au sein de l’Union européenne :

  • Il intervient en effet après deux arrêts marquants de la Cour de Justice de l’Union européenne en 2014 et 2015 [2] qui ont consacré ce droit et rappelé au législateur européen la nécessité de prévoir des garanties effectives et concrètes ;

  • Ce paquet législatif apporte aussi une nouvelle traduction du droit à la protection des données personnelles prévu par le traité sur le fonctionnement de l’Union européenne (article 16 TFUE) [3], droit fondamental garanti par la Charte des droits fondamentaux [4].

Quelles premières conclusions retirer du règlement ?

La portée du règlement doit s’apprécier au regard des objectifs initiaux de la Commission européenne (1/ renforcement du niveau de protection des données personnelles, 2/ facilitation des flux de données au sein du marché intérieur et 3/ réduction des charges administratives).

Après 10 trilogues, le futur règlement apparaît évidemment comme un texte capital (plus de 200 pages, 91 articles, au moins une centaine de considérants) qui imposera une remise à niveau importante, tant pour les opérateurs privés que les autorités publiques.

Le G29 [5] qui regroupe les autorités de contrôle nationales comme la CNIL a déjà fait part de sa disponibilité quant aux travaux à conduire pour mener à bien ce processus.

1/ S’agissant du renforcement du niveau de protection des données personnelles, ce texte affirme ses ambitions avec entre autres :

  • Un champ d’application matériel et géographique du règlement ambitieux qui opère une refonte des articles 3 et 4 de la directive 95/46 (et revoit notamment des règles de détermination du droit applicable) ;

  • Le renforcement des conditions du consentement (article 7) et en particulier du consentement parental ;

  • La consécration du droit à l’oubli (article 17), mesure phare pour la Commission lorsqu’elle avait décliné sa proposition et du droit à la portabilité des données (article 18) ;

  • L’encadrement du profilage (article 20) ;

  • La mise en œuvre d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).

Ces dispositions sont-elles à la hauteur des ambitions ?

Elles marquent la volonté du Conseil comme du Parlement de créer des marqueurs tangibles et des nouveaux droits mais elles pourraient au final aboutir à une réalité plus contrastée au vu des nombreuses exceptions crées par le règlement ou reprises de la directive 95/46.

2/ Le règlement a aussi pour finalité de faciliter les flux de données au sein du marché intérieur :

La dimension « marché intérieur »de ce règlement a été régulièrement soulignée par la Commission, avec en filigrane la nécessité de créer un environnement législatif favorable aux futurs champions européens du numérique.

Plusieurs dispositions constituent des avancées :

  • Le remplacement de la directive 95/46 par un règlement devrait de façon générale favoriser la mise en œuvre de normes européennes uniformes, en l’absence de transpositions nationales (en dépit de certains renvois spécifiques aux Etats membres) ;

  • Le chapitre V - transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue une part essentielle de cet instrument et renforce les mécanismes existants et pour certains critiqués (décision d’adéquation, binding corporate rules) ;

  • Le nouveau « mécanisme de cohérence » (article 57) et les dispositions sur les autorités de contrôle (chapitre VI et VII) doivent structurer la coopération entre ces dernières et faciliter les flux de données au sein du marché intérieur ;

  • Le niveau des sanctions prévu aux articles 78 et suivants (jusque 4% du chiffre d’affaires annuel total mondial) est aussi de nature à renforcer la portée des nouvelles règles européennes et leur efficacité. Ces mécanismes de sanctions faisaient partie des éléments clés de la proposition de la Commission et constituent une véritable innovation. Ils rapprochent aussi cette matière du droit de la concurrence.

Ces règles constituent pour certaines de véritables nouveautés, c’est le cas du très controversé mécanisme de cohérence, adopté dans une version dégradée par rapport à la proposition de la Commission. Son succès devra être analysé dans le temps, en fonction des objectifs affichés : il signe néanmoins une préférence pour ce type de mécanisme européen préféré à d’autres méthodes de rapprochement des législations jugées moins efficaces.

3/ Ce texte doit aussi participer à la réduction des charges administratives.

Plusieurs mécanismes participent de cet objectif :

  • Renforcement des mécanismes de coopération entre autorités de contrôle et traitement des plaintes ;

  • Simplification générale des obligations pesant sur les entreprises ;

  • Dispenses spécifiques pour les PME de nombreuses tâches (notification préalable, établissement de certaines bases de données etc).

Il faut s’interroger cependant sur l’économie générale du règlement.

Le règlement crée en effet des obligations supplémentaires qui pourront s’apprécier comme des charges nouvelles dans le cadre d’une sorte de «  supervision permanente » (mise en œuvre des nouveaux droits dont le droit à l’oubli, études d’impact, documentation, nouvelles obligations mises à la charge des sous-traitants), qu’ils s’agissent des PME ou non. A noter par exemple, dans le cas du traitement de données sensibles, certaines exemptions prévues pour les PME ne trouveront pas à s’appliquer, faisant ainsi basculer l’opérateur concerné dans le régime général.

Ces remarques restent préliminaires et devront être complétées par une analyse exhaustive du règlement, une fois sa version définitive consolidée, traduite dans les langues officielles de l’Union européenne et publiée au Journal Officiel de l’Union Européenne.

[1] Procédure de co-décision : Cette procédure prévue par l’article 294 TFUE consacre le Parlement européen et le Conseil de l’Union européenne comme co-législateurs et leur permet d’arrêter des actes conjointement avec le Conseil de l’Union européenne, sauf dans les cas prévus par les traités. C’est la procédure législative ordinaire prévue par le Traité de Lisbonne.

[2] Arrêt de la CJUE du 8 avril 2014, invalidant la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a et arrêt de la CJUE du 6 octobre 2015, invalidant la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[3] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne.

[4] Article 8 de la charte des droits fondamentaux de l’Union européenne – protection des données à caractère personnel : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. […]

RGPD : Publication par Jérôme Deroulez dans le Village de la Justice au sujet de la protection des données personnelles

RGPD et protection des données personnelles: vers de nouvelles règles européennes ( https://www.village-justice.com/articles/protection-des-donnees,21234.html )  

Le « paquet protection des données » doit être formellement adopté au printemps 2016, suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, pour une entrée en application dans un délai de deux ans.

 

Bref rappel chronologique sur le RGPD  :

 

Ce « paquet protection des données » (règlement et directive) avait été proposé par la Commission européenne le 25 janvier 2012, afin de remplacer et de moderniser la directive 95/46 et la décision-cadre de 2008, sur la protection des données personnelles.

Le processus de négociation du RGPD depuis 2012 a été particulièrement complexe du fait des mutations intervenues depuis 1995 dans le domaine numérique et de leurs conséquences pratiques sur la protection des données (essor des usages liées à Internet, respect de la vie privée, propriété des données...).

Le nombre des acteurs potentiellement concernés par cette modernisation législative a également connu une croissance exponentielle, alors que la protection des données personnelles est devenu un enjeu de société très largement médiatisé (droit à l’oubli, surveillance de masse, big data, utilisation du cloud etc).

Du fait de ces éléments, le processus législatif de co-décision [1] entre Conseil, Parlement et Commission européenne a été le théâtre de divergences d’appréciation fortes entre institutions, voire en leur sein (entre Etats membres ou entre groupes politiques européens).

Le remplacement de la directive 95/46 par un règlement a aussi constitué un véritable enjeu puisque le futur texte sera un acte normatif à portée générale et contraignant pour les institutions, les Etats membres et les particuliers, sans transposition nationale.

En tout état de cause, l’accord intervenu entre le Parlement européen et le Conseil, marque une étape supplémentaire dans la construction du droit effectif à la protection des données personnelles au sein de l’Union européenne :

  • Il intervient en effet après deux arrêts marquants de la Cour de Justice de l’Union européenne en 2014 et 2015 [2] qui ont consacré ce droit et rappelé au législateur européen la nécessité de prévoir des garanties effectives et concrètes ;

  • Ce paquet législatif apporte aussi une nouvelle traduction du droit à la protection des données personnelles prévu par le traité sur le fonctionnement de l’Union européenne (article 16 TFUE) [3], droit fondamental garanti par la Charte des droits fondamentaux [4].

Quelles premières conclusions retirer du règlement (RGPD) ?

La portée du règlement doit s’apprécier au regard des objectifs initiaux de la Commission européenne (1/ renforcement du niveau de protection des données personnelles, 2/ facilitation des flux de données au sein du marché intérieur et 3/ réduction des charges administratives).

Après 10 trilogues, le futur règlement apparaît évidemment comme un texte capital (plus de 200 pages, 91 articles, au moins une centaine de considérants) qui imposera une remise à niveau importante, tant pour les opérateurs privés que les autorités publiques.

Le G29 [5] qui regroupe les autorités de contrôle nationales comme la CNIL a déjà fait part de sa disponibilité quant aux travaux à conduire pour mener à bien ce processus.

 

1/ S’agissant du renforcement du niveau de protection des données personnelles, le RGPD affirme ses ambitions avec entre autres :

 

  • Un champ d’application matériel et géographique du règlement ambitieux qui opère une refonte des articles 3 et 4 de la directive 95/46 (et revoit notamment des règles de détermination du droit applicable) ;

  • Le renforcement des conditions du consentement (article 7) et en particulier du consentement parental ;

  • La consécration du droit à l’oubli (article 17), mesure phare pour la Commission lorsqu’elle avait décliné sa proposition et du droit à la portabilité des données (article 18) ;

  • L’encadrement du profilage (article 20) ;

  • La mise en œuvre d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).

Ces dispositions sont-elles à la hauteur des ambitions ?

Elles marquent la volonté du Conseil comme du Parlement de créer des marqueurs tangibles et des nouveaux droits mais elles pourraient au final aboutir à une réalité plus contrastée au vu des nombreuses exceptions crées par le règlement ou reprises de la directive 95/46.

 

2/ Le règlement a aussi pour finalité de faciliter les flux de données au sein du marché intérieur :

 

La dimension « marché intérieur » de ce règlement a été régulièrement soulignée par la Commission, avec en filigrane la nécessité de créer un environnement législatif favorable aux futurs champions européens du numérique.

Plusieurs dispositions constituent des avancées :

  • Le remplacement de la directive 95/46 par un règlement devrait de façon générale favoriser la mise en œuvre de normes européennes uniformes, en l’absence de transpositions nationales (en dépit de certains renvois spécifiques aux Etats membres) ;

  • Le chapitre V - transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue une part essentielle de cet instrument et renforce les mécanismes existants et pour certains critiqués (décision d’adéquation, binding corporate rules) ;

  • Le nouveau « mécanisme de cohérence » (article 57) et les dispositions sur les autorités de contrôle (chapitre VI et VII) doivent structurer la coopération entre ces dernières et faciliter les flux de données au sein du marché intérieur ;

  • Le niveau des sanctions prévu aux articles 78 et suivants (jusque 4% du chiffre d’affaires annuel total mondial) est aussi de nature à renforcer la portée des nouvelles règles européennes et leur efficacité. Ces mécanismes de sanctions faisaient partie des éléments clés de la proposition de la Commission et constituent une véritable innovation. Ils rapprochent aussi cette matière du droit de la concurrence.

Ces règles du RGPD constituent pour certaines de véritables nouveautés, c’est le cas du très controversé mécanisme de cohérence, adopté dans une version dégradée par rapport à la proposition de la Commission. Son succès devra être analysé dans le temps, en fonction des objectifs affichés : il signe néanmoins une préférence pour ce type de mécanisme européen préféré à d’autres méthodes de rapprochement des législations jugées moins efficaces.

 

3/ Le RGPD doit aussi participer à la réduction des charges administratives.

 

Plusieurs mécanismes participent de cet objectif :

  • Renforcement des mécanismes de coopération entre autorités de contrôle et traitement des plaintes ;

  • Simplification générale des obligations pesant sur les entreprises ;

  • Dispenses spécifiques pour les PME de nombreuses tâches (notification préalable, établissement de certaines bases de données etc).

Il faut s’interroger cependant sur l’économie générale du règlement.

Le règlement crée en effet des obligations supplémentaires qui pourront s’apprécier comme des charges nouvelles dans le cadre d’une sorte de «  supervision permanente » (mise en œuvre des nouveaux droits dont le droit à l’oubli, études d’impact, documentation, nouvelles obligations mises à la charge des sous-traitants), qu’ils s’agissent des PME ou non. A noter par exemple, dans le cas du traitement de données sensibles, certaines exemptions prévues pour les PME ne trouveront pas à s’appliquer, faisant ainsi basculer l’opérateur concerné dans le régime général.

 

Ces remarques restent préliminaires et devront être complétées par une analyse exhaustive du RGPD, une fois sa version définitive consolidée, traduite dans les langues officielles de l’Union européenne et publiée au Journal Officiel de l’Union Européenne.

[1] Procédure de co-décision : Cette procédure prévue par l’article 294 TFUE consacre le Parlement européen et le Conseil de l’Union européenne comme co-législateurs et leur permet d’arrêter des actes conjointement avec le Conseil de l’Union européenne, sauf dans les cas prévus par les traités. C’est la procédure législative ordinaire prévue par le Traité de Lisbonne.

[2] Arrêt de la CJUE du 8 avril 2014, invalidant la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a et arrêt de la CJUE du 6 octobre 2015, invalidant la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[3] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne.

[4] Article 8 de la charte des droits fondamentaux de l’Union européenne – protection des données à caractère personnel : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. […]