Un grand progrès vers l’unification des critères pour le traitement de données personnelles dans les États Membres.

actualité du parlement européen

Le Règlement européen de protection de données ou Règlement 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques en ce qui concerne le traitement de données personnelles et leur libre circulation, c’est l’avancée la plus importante en matière de protection de données personnelles en Europe depuis vingt ans, dérogeant à la directive 95/46/CE.

Structuré en 11 chapitres, 99 articles et 173 considérations, le principal objectif du Règlement c’est de renforcer le droit à la protection de données personnelles des personnes physiques et de garantir dans toute l’Union Européenne des standards de protection élevés et adaptés à l’entourage digital.

Publié le 5 mai 2016, il entrera en vigueur le 25 mai 2016 mais son application ne sera obligatoire qu’à partir du 25 mai 2018, après une période transitoire de deux ans pendant laquelle tous les États Membres devront adapter leurs législations nationales. Cependant, le nouveau Règlement sera d’application directe dans tous les États Membres et une transposition n’en sera pas requise.

Son domaine d’application territorial est très étendu car le Règlement ne s’appliquera pas seulement aux entreprises européennes mais aussi à toutes les entreprises qui réalisent des activités dans l’UE concernant le traitement de données personnelles, et cela même si elles n’ont aucune présence physique dans le territoire de l’UE.

Son domaine d’application matériel est, selon l’article 2 du Règlement, le traitement total ou partiellement automatisé de données personnelles, ainsi que le traitement non automatisé de données personnelles contenues ou destinées à être incluses dans un fichier.  Quelques activités restent exclues dudit domaine, notamment les activités exclues du domaine d’application du Droit de l’Union Européenne, l’activité des autorités destinée à la prévention ou l’investigation de délits ou de protection de la sécurité publique, ou le traitement de données effectué par une personne physique dans l’exercice d’activités exclusivement personnelles.

Après cette brève présentation du Règlement, nous allons nous pencher sur ses lignes directrices ainsi que sur ses principales nouveautés.

Le règlement contient 6 lignes directrices principales:

  • Un continent, une norme : une nouvelle réglementation applicable dans toute l’Union Européenne
  • La mise en place d’un « guichet unique » : les entrepreneurs devront se diriger uniquement vers un seul superviseur en Europe, ce qui supposera une grande épargne d’argent par an.
  • L’Europe, régie par la réglementation européenne : les entreprises établies en dehors de l’Union Européenne devront appliquer les mêmes règles quand elles exercent une activité ou rendent leurs services dans l’Union Européenne.
  • La prise en considération des risques spécifiques : avec les nouvelles normes on va éviter des obligations générales sur le traitement de données, on va par contre les adapter aux différentes facteurs de risque.
  • La protection de données dès le début: dès qu’on commence à dessiner une nouvelle application qui va utiliser des données personnelles, on va devoir garantir la confidentialité de ces données, dès le début. Par exemple, dans le domaine des réseaux sociaux, les profils de confidentialité des usagers devront être par défaut fermés aux autres usagers, ce sera à l’usager dudit profil de l’ouvrir au reste d’usagers s’il le veut.
  • L’importance du consentement : le consentement devra être libre, spécifique, informé et évident, et le responsable du traitement de données devra pouvoir prouver que le titulaire des données a donné son consentement pour le traitement de ses données.

Plusieurs sont les nouveautés introduites par le Règlement, notamment : l’introduction de nouveaux droits, comme le droit de transparence, le droit à l’information, le droit d’accès, le droit de rectification, le droit à l’oubli, le droit à la limitation du traitement, le droit à la portabilité de données et le droit d’opposition ; le registre des activités de traitement ; l’imposition d’obligations en cas de violation de la sécurité des données (notification d’une violation de la sécurité de données personnelles à l’autorité de contrôle) ; la création de la figure du Délégué de Protection de Donnés dans l’entreprise, avec un niveau de responsabilité très élevé ; l’obligation de réaliser des évaluations de l’impact de confidentialité dans le développement de nouveaux produits et services ; le renforcement du consentement : des nouvelles conditions pour considérer le consentement validement prêté ainsi que la nécessité de pouvoir prouver que le consentement a été donné ; ou l’augmentation du montant des sanctions, qui peuvent arriver jusqu’au 20.000.000 euros.

Pour finir, ce serait opportun de faire une mention spéciale au droit à l’oubli. Ce droit, affirmé dans le Règlement, avait déjà été reconnu par la Cour de justice de l’Union Européenne le 13 mai 2014 dans l’affaire Google Spain SL Inc. Contre Agencia Española de Protección de Datos, Mario Costeja González, où la Cour a précisé que l’exploitant d’un moteur de recherche sur internet est responsable du traitement qu’il effectue des données à caractère personnel qui apparaissent sur des pages web publiées par des tiers, et donc si le moteur de recherche dirige vers une page web qui contient des informations sur une personne recherchée dans le moteur, cette personne peut s’adresser directement à l’exploitant pour obtenir la suppression de ce lien de la liste de résultats.

En Espagne deux arrêts contradictoires ont été rendus récemment en matière de droit à l’oubli par la Cour Suprême, l’un par la chambre civile (5 avril 2016), l’autre par la chambre contentieux-administrative (14 mars 2016). Les deux arrêts reconnaissent le droit à l’oubli mais divergent sur la filiale à laquelle la personne qui veux supprimer ses données du moteur de recherche devra se diriger : le Haut Tribunal dans l’arrêt du 5 avril considère que c’est à la filiale de Google Spain; dans l’arrêt du 14 mars à la matrice de Google aux États Unis.

Il n’est pas si étonnante cette contradiction si l’on prend en compte le fait que ces deux décisions sont analysées à travers des points de vue différents et par des chambres différentes. Mais ce que doit retenir nôtre attention aujourd’hui c’est que « le Tribunal Supremo » répète à plusieurs reprises dans les deux arrêts  droit à l’oubli  et que cela fait jurisprudence, le droit à l’oubli est donc contraignant pour les tribunaux espagnols.

 

Berta Molina,

Toute l’information et actualité en Espagne

Hacer Comentario

Su dirección de correo electrónico no será publicada.