2012 : un vent nouveau pour la protection des données personnelles

Cet article est écrit par Diane MULLENEX, Associée du Cabinet d’Avocats Ichay & Mullenex, responsable du Département Technologies Média Télécommunications, invitée par François à réagir sur l’actualité juridique du e-commerce sur ce blog.

 

2012 va-t-elle être une année de renouveau dans le domaine du e-commerce ? Google a modifié sa politique de confidentialité et la Commission européenne a publié une proposition de modification du cadre juridique applicable à la protection des données personnes, datant de 17 ans !

 La Commission européenne a en effet officialisé le 25 janvier dernier sa tant attendue proposition de réforme globale des règles en matière de protection des données personnelles. Cette proposition vise à accroître la maîtrise des utilisateurs sur leurs données et à réduire les coûts supportés par les entreprises. Rappelons que le cadre juridique applicable jusqu’alors datait de 1995 et avait notamment fait l’objet de mesures de transposition disparates dans les Etats membres.

 Le projet se compose de deux propositions législatives : une proposition de règlement, et une proposition de directive. A titre préalable, notons que l’édiction d’un règlement est une évolution fondamentale car les règlements sont directement applicables dans les Etats membres de l’Union européenne, c’est-à-dire qu’ils ne requièrent pas de mesures de transposition. Dès lors, la nouvelle réforme vise à mettre en place des règles qui seront indistinctement applicables dans toute l’Union européenne.

 Parmi les évolutions intéressantes de la réforme on peut citer les éléments suivants :

  • La procédure de déclaration des traitements de données à caractère personnel aux autorités de contrôle prévoyait que les entreprises devaient déclarer tout traitement de données à caractère personnel générant ainsi des coûts très importants pour les entreprises. Cette procédure va être remplacée par des procédures et des mécanismes ciblant plutôt les traitements susceptibles de présenter des risques particuliers pour les droits et libertés des personnes concernées.
  • Une obligation de notification des violations graves de données à caractère personnel à l’autorité de contrôle national et aux personnes concernées devra être effectuée dans les meilleurs délais par les entreprises et organisations mettant en œuvre des traitements.
  • Les entreprises et organisations auront désormais comme interlocuteur une seule autorité nationale chargée de la protection des données située dans le pays d’établissement dans lequel elles ont leur établissement principal, ce qui permettra aux personnes concernées par les traitements de s’adresser à l’autorité compétente même lorsque les données sont traitées en dehors du territoire de l’Union européenne.
  • L’accès des personnes concernées à leurs données sera facilité et un droit à la portabilité des données sera même créé, c’est-à-dire le droit pour une personne concernée d’exiger d’un responsable de traitement que le fichier comportant ses données soit transmis à un autre système de traitement.
  • Un droit à l’oubli numérique est créé, permettant ainsi aux citoyens d’exiger la suppression de leurs données dès lors qu’aucun motif légitime ne justifie leur conservation. Ce droit comprend l’effacement des données de la part de tous les prestataires tiers étant intervenu dans le traitement concerné.
  • Les organismes publics, les entreprises de plus de 250 salariés et les entreprises mettant en œuvre des traitements qui exigent un suivi régulier et systématique des personnes concernées devront désigner un délégué à la protection des données dont la fonction s’apparente à celle du correspondant à la protection des données, telle qu’elle existe actuellement.
  •  La proposition de réforme envisage un système de sanctions à l’initiative des autorités de contrôle pouvant aller de € 250 000 à € 1000 000 (0,5 à 2% du chiffre d’affaires mondial dans le cas d’une entreprise), en fonction des cas de manquement constatés.

 La proposition de réforme du cadre applicable à la protection des données n’a pas été saluée par tout le monde. En particulier, la CNIL voit d’un œil dubitatif certains aspects du nouveau cadre juridique proposé. La CNIL s’est en effet notamment inquiétée de la centralisation des responsabilités autour des autorités nationales du pays dans lequel est situé l’établissement principal des entreprises mettant en œuvre les traitements.La CNIL craint ainsi une perte de compétences des autorités nationales au profit d’un nombre limité d’autorités (notamment dela Commissioneuropéenne qui bénéficie d’un pouvoir normatif important) et préconise au contraire la mise en place de mécanismes de coopération entre les autorités compétentes des divers Etats membres.

 Il ne s’agit encore que d’une proposition qui va faire l’objet de modifications. Pour l’heure, elle est à saluer, car elle introduit un allégement notable des formalités à la charge des entreprises, permet une réelle harmonisation au niveau communautaire et fournit un cadre plus clair que celui en vigueur à présent. Gageons qu’il permettra peut-être aux opérateurs économiques de se mettre progressivement en conformité en la matière.

 

Diane Mullenex – Avocat à la Cour– Solicitor England & Wales- Ichay & Mullenex Avocats – www.ichay-mullenex.fr.

2 commentaires

  1. Cet article m’a intéressé.
    La question que je me pose est la suivante : Ces lois sont appliqués par l’union européenne mais qu’en est il des sites créés en dehors de l’union européenne ? Les lois s’appliqueront elles seulement dans l’UE ? Ces sites seraient donc obligés de créer une version uniquement pour l’UE ?

    1. Cher Monsieur,

      Pour répondre à votre question, l’article 3 du projet de Règlement règle la question de son champ d’application territorial. Le règlement sera applicable :

      – Aux traitements effectués dans le cadre des activités d’un responsable de traitement ou d’un sous-traitant ayant leur établissement situé sur le territoire de l’Union européenne ;
      – Lorsque les données traitées appartiennent à des personnes ayant leur résidence sur le territoire de l’Union européenne, quand bien même le responsable du traitement n’est pas établi dans l’Union européenne, si les activités de traitement ont pour objet l’offre de biens ou de services à ces personnes ou l’observation de leur comportement ;
      – En dehors du territoire de l’Union européenne, en tout lieu où le responsable de traitement a son établissement et où la législation d’un Etat membre s’applique.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.