Trusted Shops The safe way to web shopping
Partenaires | Presse | Recrutement | Consommateur | Login

Appel gratuit

0805 111 224

Appel gratuit depuis un poste fixe en France ;
Facturation variable depuis votre mobile

  • Accueil
  • Avantages
  • Tarifs
  • Entreprise
  • Contact

    • Vers une unification de la protection des données dans l’UE

    Publié le 8. February 2012 par Glynnis Makoundou

    Le 25 janvier, la Commission européenne a publié une proposition visant une vaste réforme du droit européen de protection des données personnelles. L’objectif est de mettre en place dans tous les États-membres de l’UE des dispositions uniformes, pour réduire les coûts des entreprises et renforcer la confiance des consommateurs vis-à-vis des services en ligne. Le projet rencontre des échos variés dans les milieux spécialisés.

    Que propose cette réforme ?

    Viviane Reding, Commissaire européenne à la justice, a présenté le 25 janvier 2012 une proposition de la Commission européenne prévoyant une vaste réforme des dispositions européennes sur la protection des données personnelles. La proposition comprend un projet de Règlement européen sur la protection des données personnelles, destinée à uniformiser les règles applicables aux entreprises dans tous les États-membres. Parallèlement, il est prévu une directive devant régir la protection des données dans la coopération entre les services policiers et judiciaires.

    L’uniformité doit apporter un soulagement

    L’objectif principal de la réforme est d’instituer un droit unique de la protection des données personnelles à l’échelle européenne. Cet objectif doit être atteint par un règlement sur la protection des données personnelles, s’appliquant directement dans tous les États-membres et remplaçant largement les lois nationales sur la question. Ceci en vue de mettre un terme à la fragmentation existante du droit de la protection des données personnelles dans l’UE, du fait des différences qui existent dans la transposition de la Directive européenne existante faite par les différents États-membres.

    Cette unification des dispositions de protection des données doit avant tout permettre aux entreprises d’économiser des frais administratifs ; selon la Commission, cela pourrait représenter des économies d’environ 2,3 milliards d’euros par an. Par ailleurs, l’unification des principes devrait renforcer les droits des consommateurs en ligne et donc leur confiance dans les services en ligne, ce qui doit faciliter la croissance et les innovations en Europe.

    Un accueil mitigé

    En termes de contenu, le projet apporte quelques nouveautés qui suscitent un accueil mitigé dans les milieux spécialisés. Alors que les efforts de la Commission dans le sens de la modernisation et de l’unification des règles sont salués dans leur principe par de nombreux intervenants, les discussions sont déjà vives quant à certaines questions de détail.

    Étendue du champ d’application

    L’une des nouveautés essentielles est l’extension considérable du champ d’application des règles européennes qui, par définition, portent également sur les entreprises qui traitent les données de citoyens européens en dehors de l’UE. Le communiqué de presse sur le sujet indique :

    Les règles de l’Union devront s’appliquer si des données à caractère personnel font l’objet d’un traitement à l’étranger par des entreprises implantées sur le marché européen et proposant leurs services aux citoyens de l’Union.

    Cela concernerait avant tout les entreprises issues d’États tiers dont les modèles économiques reposent sur le traitement de données personnelles à partir de contenus produits par les utilisateurs, comme les réseaux sociaux. La règle est donc avant tout approuvée par les instances de protection des consommateurs et des données, alors que les entreprises concernées devraient moins s’en réjouir.

    Réaction de la CNIL

    La CNIL réagit également de manière négative à cette nouvelle disposition, car, en pratique, l’autorité compétente pour traiter des plaintes en la matière serait celle du pays européen dans lequel l’entreprise étrangère a établi son siège européen. Or la plupart des entreprises étrangères ont implanté leur siège en Irlande, en raison des modalités fiscales avantageuses étant offertes dans ce pays. En pratique, un consommateur français souhaitant signaler une plainte relative au traitement de ses données personnelles par une telle entreprise s’adressera à la CNIL, qui devra transmettre le dossier aux autorités de protection des données irlandaises. La CNIL ne pourra pas traiter le cas elle-même et prononcer des sanctions. La CNIL craint donc un éloignement des citoyens de leurs autorités nationales, et refuse de servir de « boite aux lettres ».

    Cependant, la CNIL salue de nombreuses dispositions de ce règlement qu’elle considère comme des avancées importantes en matière de protection des données personnelles et de protection des citoyens.

    Droit d’opposition et profilage

    Une nouvelle mesure par rapport au droit français actuel de la protection des données concerne la création d’un droit à refuser d’être l’objet d’un profilage (article 20 du projet de règlement). Cette mesure vise par exemple les examens de solvabilité en ligne, dont le résultat conditionne l’octroi ou non de certains moyens de paiement. Ce type de profilage ne pourrait avoir lieu que dans certaines hypothèses restreintes, ou alors avec le consentement préalable de l’intéressé.

    Obligation d’information remodelée

    L’obligation d’information du responsable de traitement est renforcée en ce qui concerne son périmètre, mais assouplie en ce qui concerne les modalités pratiques de la fourniture de cette information (article 14 du projet de Règlement).

    En termes de contenu, au delà de la finalité et des destinataires des données collectées, il faudra également indiquer la durée pendant laquelle les données à caractère personnel collectées seront conservées.

    En termes de forme, le projet de règlement ne prévoit par exemple pas de mentions obligatoires sur les formulaires, comme le fait actuellement la loi française. S’il semble qu’une politique de protection des données facilement accessible suffirait, peut être serait il prudent d’en faire attester la lecture par une case à cocher pour avoir une preuve de l’accomplissement de son obligation d’information.

     Le début d’une longue procédure

    Les nouvelles mesures décrites plus haut sont encore loin d’être définitives. La proposition de la Commission prévoit elle-même une période de transition entre 2014 et 2016 pour le Règlement. Compte tenu de la nécessité d’un débat public à grande échelle, ponctué d’importantes actions de lobbying,  il faut cependant prévoir une longue procédure, pour laquelle an et demi est considéré encore par certains comme une estimation optimiste. Il faut donc attendre de voir l’évolution des débats et leur influence sur la procédure législative.



    «
    »
    Références :