Derniers articles publiés

Données personnelles : que prévoit l'Union européenne ?

Actualité 15.03.2018

Le paquet sur la protection des données a été adopté en 2016 pour améliorer la sécurité juridique des citoyens européens. Les règles entrent en vigueur en mai 2018.

Protection des données (c) istock

La protection des données à caractère personnel n'est pas un enjeu européen totalement nouveau. Un cadre législatif relatif au traitement et à la circulation de ces données existe en effet depuis 1995. Pour autant, la définition d'une stratégie numérique européenne visant à la création d'un véritable marché unique numérique, mais également les révélations sur le programme PRISM de surveillance de la NSA ont renforcé la nécessité d'une révision des législations relative à la protection des données personnelles.

Harmoniser la protection des données personnelles des citoyens

La directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données demeure actuellement le socle commun à tous les pays de l’Union européenne en matière de protection des données personnelles.

Cette directive définit ce qu'est une donnée à caractère personnel et pose les principes de la qualité de la donnée, la légitimation de son traitement, le type de catégories récoltées autorisée, le droit d'accès des personnes à leurs données, le consentement de délivrance des données et le droit d'opposition, la confidentialité et la sécurité des traitements, ainsi que sa notification.

L'article 29 de cette directive d'octobre 1995 a également permis la création d'un groupe qui rassemble, tous les deux mois, les représentants des autorités nationales de protection des données (l'équivalent de la Commission nationale de l'informatique et des libertés – CNIL, en France). Ce groupe surnommé "G29" a pour objectif d'adopter des recommandations concernant la protection des données personnelles, et notamment à destination de la Commission européenne.

Qu'est qu'une donnée personnelle ?
Le règlement de 2016 abrogeant la directive de 1995 sur la protection des données définit la donnée personnelle comme "toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale". C'est également le cas d'une photo mais aussi des empreintes digitales et autre donnée biométrique.

La directive a été transposée en droit français par la loi du 6 août 2004 relative à la protection des personnes physiques concernant les traitements de données à caractère personnel.

Bien que la directive de 1995 ait permis une certaine harmonisation, il existait toutefois une fragmentation des législations des Etats membres en termes de données personnelles. Les législations françaises et anglaises, par exemple, divergaient en de nombreux points comme la définition même de la donnée personnelle, ou encore les conditions de transferts et de traitement. Comme l'explique le règlement de 2016, il subsistait donc "une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l'environnement en ligne."

Les nouvelles règles du paquet législatif de 2016

Après 20 mois de débats et 250 heures de négociations informelles entre les groupes politiques, les députés européens ont voté le paquet sur la protection des données composé d'un règlement et d'une directive, en avril 2016. Les Etats membres et leurs entreprises ont jusqu'en mai 2018 pour l'appliquer.

Le règlement concerne le traitement des données personnelles. Il adapte ainsi la directive de 1995 aux évolutions de l'environnement numérique. Comme l'explique Carole Ulmer, directrice d'études pour le think tank Confrontations Europe : "L'esprit du texte est clair : il s'agit de donner une vision commune de la protection des données personnelles en Europe et de renforcer le droit des individus sur leurs données."

Le règlement concerne également "le droit à l'oubli". Ainsi, si une personne demande à une entreprise d'effacer certaines données, l'entreprise doit s'exécuter et transmettre la demande à toute partie qui duplique ces données.

Différentes mesures permettent enfin à chacun d'être informé de l'utilisation de ses données personnelles. Trois articles visent à changer le fonctionnement des politiques de vie privée rédigées "en petits caractères". Les informations devront être transmises dans un langage "simple et clair" afin que la personne donne un consentement clair et explicite quant au traitement de ses données. Deux autres articles stipulent que les entreprises doivent informer les utilisateurs ou clients en cas de piratage des données.

L'objectif est également d'encourager les entreprises à mettre en œuvre une bonne gouvernance des données ainsi que des méthodes qui respectent le principe de protection des données dès la conception du produit qu'elles proposent. En cas d'infraction, des amendes pouvant atteindre jusqu'à 4% du chiffre d'affaire mondial de l'entreprise sont prévues par le règlement.

La directive concerne quant à elle les transferts de données nationaux et transnationaux. Ces données sont également protégées par le règlement, mais avec certaines adaptations. L'objectif est de faciliter la coopération des différentes autorités répressives nationales.

L'accord "Privacy Shield"

En février 2016, un accord entre l'UE et les Etats-Unis concernant les échanges de données transatlantiques a été conclu. Entré en vigueur en août 2016, ce mécanisme assure que les données personnelles européennes transmises à des entreprises américaines soient soumises à des règles qui garantissent un niveau de protection adéquat et proche de celui proposé par l'Union européenne. 

En savoir plus :