Navigation path

Left navigation

Additional tools

Commission européenne

MÉMO

Bruxelles, le 28 janvier 2013

Réforme du régime de la protection des données: un an après

Il y a un an, la Commission européenne présentait une réforme globale de la réglementation européenne sur la protection des données adoptée en 1995, afin de renforcer les droits en matière de respect de la vie privée dans l’environnement en ligne et de donner un coup d’accélérateur à l’économie numérique européenne (IP/12/46). Les progrès technologiques et la mondialisation ont modifié en profondeur les modes de collecte, de consultation et d’utilisation de nos données. En outre, les mesures nationales de transposition de la directive de 1995 différaient entre les 27 États membres de l’UE, ce qui entraînait des divergences dans l’application de ce texte. Une législation unique mettra fin à la fragmentation juridique actuelle et aux lourdes charges administratives pesant sur les entreprises, ce qui représentera pour ces dernières une économie annuelle de quelque 2,3 milliards d’EUR. Cette initiative contribuera également à renforcer la confiance des consommateurs dans les services en ligne, ce qui donnera un coup de fouet salutaire à la croissance, à l’emploi et à l’innovation en Europe.

En quoi la réforme du régime de la protection des données dynamisera‑t‑elle la croissance économique ?

Le partage de données est devenu essentiel à la croissance économique. La protection de la vie privée et la libre circulation des données sont des notions, non pas contradictoires, mais complémentaires.

La confiance est une condition sine qua non pour permettre à léconomie numérique de prospérer. Nombreuses sont les personnes qui, par méfiance, refusent de communiquer en ligne leurs données à caractère personnel. Elles sont, dès lors, moins susceptibles d’utiliser les services en ligne et d’autres technologies. D’après une étude réalisée par GSMA, association d’opérateurs de téléphonie mobile, 9 utilisateurs de smartphones sur 10 s’inquiètent du fait que des applications mobiles collectent sans leur consentement des données qui les concernent, et déclarent vouloir être informés lorsque des données que contient leur smartphone sont partagées avec des tiers.

L'existence de règles impératives, fiables et systématiquement appliquées permettra, d’une part, de rendre les opérations de traitement de données plus sûres et moins onéreuses et, d’autre part, de renforcer la confiance des particuliers, laquelle, à son tour, sera le moteur de la croissance. Ce message éveille une résonance partout dans le monde. Ainsi dans une lettre adressée au Parlement européen soutenant vigoureusement le train de mesures réformant le régime de protection des données, 25 grandes associations américaines de défense des consommateurs ont insisté sur le fait que des normes de l’Union plus strictes en matière de protection de la vie privée profiteraient aux consommateurs du monde entier.

En quoi la réforme est‑elle favorable aux entreprises?

La proposition relative à la protection des données emprunte trois voies pour aider les entreprises à contribuer à la croissance.

Premièrement, elle abaissera les coûts grevant les sociétés et accroîtra la sécurité juridique en remplaçant l’actuelle mosaïque législative qui caractérise l’Europe par un corps de règles unique et uniforme qui s’appliquera à l’ensemble des 27 pays de l’Union européenne.

Elle réduira les formalités administratives en introduisant un guichet unique à l’intention des entreprises lorsque ces dernières auront affaire aux autorités de régulation. À l’avenir, les sociétés n’auront plus pour interlocuteur que l’autorité chargée de la protection des données du pays de l’Union dans lequel elles sont établies.

De même, elles seront dorénavant dispensées de l’obligation de notifier chaque opération de traitement de données aux autorités nationales de régulation.

L’ensemble de ces mesures permettra aux entreprises de réaliser une économie annuelle de quelque 2,3 milliards d’EUR.

Deuxièmement, la réforme sera génératrice de croissance parce qu’elle tient compte du coût induit par le non-respect des règles relatives à la protection des données. Les violations de ces règles peuvent, en effet, engendrer des coûts démesurés. D’après les informations disponibles, une cyberattaque visant la société Sony, lors de laquelle ont été piratés 100 millions de comptes clients, a coûté à cette société entre 1 et 2 milliards d'USD. C’est en veillant à ce que les clients soient avertis sans retard injustifié d’un piratage des données les concernant, y compris d’informations relatives à leurs cartes de crédit, que l’on instaurera la confiance et que l’on incitera les consommateurs à effectuer des achats en ligne en toute sérénité.

Troisièmement, la proposition législative de la Commission multiplie les possibilités offertes aux entreprises pour établir qu’elles satisfont aux normes de protection élevée lorsqu’elles transfèrent des données à caractère personnel au-delà des frontières de l’Union. La liste est longue. Les entreprises exerçant leurs activités à l’échelle mondiale bénéficieront ainsi de normes claires définissant les modalités d’utilisation de règles d'entreprise contraignantes et de clauses contractuelles types pour transférer, en toute sécurité, des données à caractère personnel.

La proposition supprime également de nombreuses procédures fastidieuses imposant l’obtention d’autorisations préalables. Il sera donc possible, sous certaines conditions, de transférer des données à l’extérieur de l’Union dans le respect de codes de conduite. Cela n’empiètera pas sur la sphère de sécurité.

Les nouvelles règles proposées relatives au caractère adéquat d’un niveau de protection tiennent pleinement compte des régimes de protection de la vie privée en vigueur dans les autres pays. Il ne s’agit pas, pour un pays tiers, d’avoir un régime identique à celui de l’Union mais, d’assurer en pratique le même niveau de protection des données. L’expérience acquise montre que cette démarche fonctionne.

En quoi la réforme est-elle favorable aux citoyens?

La proposition législative de lUE relative à la protection des données retient une triple approche pour, d’une part, permettre aux citoyens de maîtriser leurs données et, d’autre part, renforcer la confiance de ceux-ci dans l’utilisation de services en ligne.

Premièrement, en renforçant le droit existant à loubli numérique (c’est-à-dire le droit à demander et obtenir l’effacement de données lorsque celles-ci ne sont plus nécessaires), le droit de l’Union aidera les particuliers à mieux gérer les risques liés à la protection des données dans un environnement en ligne: les personnes pourront obtenir la suppression de données les concernant si aucun motif légitime ne justifie leur conservation. L’accès des personnes concernées à leurs propres données sera également facilité, de même que le transfert de données à caractère personnel dun prestataire de services à un autre.

Deuxièmement, chaque fois qu’une opération de traitement de données sera subordonnée au consentement de la personne concernée, ce consentement devra être donné explicitement, plutôt que présumé comme c’est parfois le cas aujourd'hui. Le consentement n’est actuellement qu’un motif, parmi plusieurs, permettant le traitement licite de données; il en sera également ainsi en vertu de la proposition législative de la Commission. Une opération de traitement peut également être fondée sur l’exécution d’un contrat, sur une obligation juridique, un intérêt public ou des intérêts légitimes du responsable du traitement, etc. Mais lorsque le consentement est exigé pour procéder à un traitement de données, il doit être explicite: le silence ne vaut pas expression d’un consentement.

Le consentement explicite ne doit pas être nécessairement donné par écrit: une personne peut consentir au traitement de données la concernant en cliquant sur une icône ou en cochant une case sur un site web. Cela ne signifiera pas l’ouverture ininterrompue de fenêtres pop-up car le consentement peut couvrir plusieurs opérations.

Troisièmement, les nouvelles règles contribueront à réduire le nombre de violations de données. Lorsqu’une violation est commise et que des données à caractère personnel sont perdues, volées ou piratées, les personnes concernées devraient en être averties aussi rapidement que possible. Ce sont les criminels, pas les entreprises légitimes, qui pâtissent d’actions rapides visant à lutter contre les violations de données. Pourquoi ne faudrait-il pas notifier de telles violations dans un délai de 24 heures si cela est faisable ? La proposition de la Commission ne formule pas d’autre exigence. Selon les statistiques, les pays qui exigent des notifications rapides en cas de violations de données font état de violations moins nombreuses. Des règles strictes dans ce domaine encouragent manifestement les sociétés à gérer les données à caractère personnel selon des modalités encore plus sûres.

Que signifie réellement le droit à l’oubli numérique?

Les personnes qui nourrissent l’espoir que le droit à l’oubli numérique va faire disparaître leurs antécédents de mauvais payeur vont être déçues.

La proposition de la Commission repose en effet sur le droit préexistant d’exiger la suppression de données à caractère personnel si la conservation de celles-ci n’est plus justifiée par une finalité légitime. Ce droit recouvre toutes sortes de situations quotidiennes. Il se peut, par exemple, que des enfants ne comprennent pas les risques liés à la divulgation d’informations personnelles, si ce n’est pour regretter leur geste une fois adultes. Ils devraient avoir la possibilité d’obtenir l’effacement de ces informations s’ils le souhaitent.

Le droit à l’oubli numérique permettra-t-il de réécrire l’histoire?

Le droit à l’oubli numérique ne consiste pas à réécrire l’histoire. La proposition législative de la Commission protège expressément (à ses articles 17 et 80) la liberté dexpression et la liberté des médias, ainsi que la recherche historique et scientifique.

De même, des données à caractère personnel peuvent être conservées aussi longtemps qu’elles sont nécessaires à l’exécution d’un contrat ou au respect d’une obligation juridique. Bref, le droit à loubli numérique nest pas absolu.

Les droits des entreprises sont, eux aussi, protégés. Si les données à caractère personnel en cause ont été rendues publiques (elles ont été publiées sur l’internet, par exemple), une société doit se donner beaucoup de mal pour faire en sorte que les tiers prennent connaissance de la demande d’effacement de ces données. Évidemment, une entreprise ne pourra pas effacer toutes les traces laissées dans des index de recherche et ce n’est pas non plus ce qu’exige la proposition législative. Mais les sociétés devraient prendre toutes les mesures raisonnables pour que les tiers auxquels les informations à caractère personnel ont été transmises soient informés que la personne concernée par ces informations souhaiterait les voir effacer. L’envoi d’un courrier électronique en ce sens suffira dans la plupart des cas.

La réforme du régime de la protection des données donnera-t-elle à la Commission un chèque en blanc pour édicter des règles ?

Les pouvoirs d’exécution que le programme de réforme en matière de protection des données confère à la Commission ne constituent pas un chèque en blanc. Ils permettront à celle-ci de n’adapter aux nouvelles évolutions que les éléments secondaires de la législation, sous la surveillance du Parlement européen et du Conseil des ministres. Sans la souplesse nécessaire pour s’adapter aux évolutions technologiques, la nouvelle législation serait inévitablement trop normative et moins ouverte aux innovations. Les nouvelles règles seraient, dès lors, rapidement dépassées. Comme toujours, la Commission consultera pleinement les parties prenantes avant d’exercer ses pouvoirs.

Si le droit de l’Union prévoit ce type de pouvoirs d’exécution, c'est pour veiller à ce que les éléments techniques de nos instruments juridiques puissent être rapidement adaptés à un environnement en constante mutation, sans devoir passer par la procédure législative complète et approfondie qu’exige l’adoption d’un nouveau texte.

Les nouvelles règles affaibliront-elles la coopération internationale de lutte contre la criminalité?

Les échanges de données entre autorités répressives n’en seront pas rendus plus difficiles. Seuls devront être réexaminés les accords qui impliquent l’échange d’informations à caractère personnel sans prévoir de garanties appropriées en matière de protection des données.

Quelles sont les prochaines étapes?

The draft law must now be approved by the European co-legislators: the European Parliament and the Council of Ministers in which national Ministers are represented. Les rapporteurs du Parlement (membres du Parlement chargés du dossier relatif à la protection des données) ont élaboré leurs projets de rapport (MEMO/13/4) qui feront l’objet d’un débat au sein des commissions parlementaires compétentes. Le Parlement européen devrait se prononcer sur la proposition vers la fin du mois d’avril.

L’Irlande, qui préside et conduit les réunions du Conseil pendant les six prochains mois, a fait de la protection des données une priorité et travaille d’arrache-pied pour parvenir à un accord politique sur la réforme du régime de la protection des données dici la fin de sa présidence (juin 2013). Des progrès satisfaisants ont été accomplis lors de la réunion informelle du Conseil Justice du 18 janvier (voir SPEECH/13/29).

La Commission européenne continuera de coopérer très étroitement avec le Parlement européen et le Conseil afin de soutenir dans leurs efforts le Parlement et la présidence irlandaise de l’Union et d’obtenir le vote de la proposition de réforme de la protection des données avant la fin de cette année.

Pour de plus amples informations

Dossier de presse: réforme de la réglementation en matière de protection des données:

http://ec.europa.eu/justice/newsroom/data-protection/events/120125_en.htm (en anglais uniquement).

Commission européenne – protection des données:

http://ec.europa.eu/justice/data-protection/index_fr.htm

Page d’accueil du site internet de Mme Viviane Reding, vice-présidente de la Commission européenne et commissaire chargée de la justice:

http://ec.europa.eu/commission_2010-2014/reding/index_fr.htm

Salle de presse de la direction générale de la justice:

http://ec.europa.eu/justice/newsroom/index_fr.htm

Suivez Mme la vice-présidente sur Twitter: @VivianeRedingEU


Side Bar

My account

Manage your searches and email notifications


Help us improve our website