Accord de principe sur la protection des données dans l'UE
Quatre ans. Il aura fallu quatre ans aux organes de l’Union européenne (Commission, Parlement, Conseil) pour arriver à un accord de principe sur le renforcement de la protection des données personnelles en ligne. Pour rappel, la directive européenne qui est applicable actuellement en la matière date de 1995. Netscape Navigator n’était disponible que depuis une année… C’est dire !
Deux textes étaient soumis à cette longue discussion : un règlement (PDF ; projet en anglais) sur la protection des données personnelles et une directive concernant les données traitées par les organes de police et les autorités judiciaires. Alors que celle-ci devra, selon le droit européen, être transposée par les États membres dans leur droit national, le règlement sera automatiquement et directement applicable aux États membres.
Selon le communiqué, les textes finaux seront formellement adoptés par le Parlement européen et le Conseil début 2016. L’accord d’hier doit avant cela être confirmé par les représentants permanents des gouvernements de l’Union européenne et être soumis au vote de la Commission des libertés civiles du Parlement européen demain. Les nouvelles règles s’appliqueront dans deux ans, au plus tôt.
Nouveaux droits pour les internautes
Le communiqué de presse mentionne les améliorations suivantes :
accès plus simple aux propres données personnelles: les individus disposeront de plus d’informations sur la façon dont leurs données sont traitées, et ces informations devront être formulées de manière claire et compréhensible;
droit à la portabilité des données: il sera plus facile de transférer les données personnelles d’un prestataire de services à un autre;
“droit à l’oubli” plus clair: lorsqu’un individu ne souhaite plus que les données qui le concernent soient traitées, et dès lors qu’aucun motif légitime ne justifie leur conservation, ces données seront supprimées;
droit d’être informé en cas d’accès non autorisé aux données personnelles: par exemple, les entreprises et organisations doivent notifier à l’autorité nationale de contrôle, dans les plus brefs délais, les violations de données graves, afin que les utilisateurs puissent prendre les mesures appropriées.
Ces quatre changements donnent plus de contrôle sur leurs données aux citoyens et internautes européens. Le premier changement permettra à ces derniers d’accéder plus facilement à leurs données (à ce sujet, voir cette série d’articles sur le droit d’accès) et surtout d’en savoir plus sur la manière dont les données sont traitées. Aujourd’hui, il est compliqué de savoir comment les données sont utilisées, dans quel but, etc. Peu d’informations sont fournies à ce sujet et les acteurs d’Internet sont tout sauf transparents. Le consentement au traitement de données ne pourra apparemment plus être implicite, mais devra être explicite.
Le deuxième est très intéressant puisqu’il devrait forcer les fournisseurs de services et autres prestataires à collaborer, voire à s’interconnecter pour transférer des données personnelles. À tout le moins, si les données sont remises sont forme électronique à l’internaute, elles devront l’être dans des formats lisibles par l’écrasante majorité des logiciels. J’y vois là une possible ouverture pour les formats libres et/ou opensource.
Le troisième méritera qu’on s’y attarde lorsque les dispositions légales finales seront connues. Actuellement, le droit à la suppression des données existe déjà, mais la formulation du communiqué de presse laisse entrevoir un assouplissement des conditions pour l’exiger, ce qui ne peut être que bénéfique pour l’internaute.
Enfin, le quatrième est un véritable plus. On l’a vu lors du hack de Ashley Madison, personne et aucun service n’est à l’abri d’une intrusion et d’un vol de données. Souvent, ces intrusions et vols ne sont rendus publics que bien après, par exemple lorsque l’information est parvenue aux médias et que l’entreprise victime est “forcée” de communiquer. Dorénavant, les internautes seront avisés, indirectement certes puisque l’entreprise devra annoncer le cas à une autorité.
Règles plus précises pour les entreprises
un continent, un droit: le règlement établira un corpus unique de règles: il sera donc plus simple et moins coûteux pour les entreprises d’exercer leurs activités dans l’UE.
guichet unique: Les entreprises traiteront avec une seule autorité de contrôle, ce qui leur permettra d’économiser quelque 2,3 milliards d’euros par an.
application des règles européennes sur le sol européen: les entreprises établies hors d’Europe devront se conformer à la réglementation européenne pour pouvoir offrir leurs services dans l’Union.
approche fondée sur les risques: plutôt qu’une approche uniforme inadaptée aux situations particulières, la nouvelle réglementation prévoit des règles sur mesure en fonction des risques.
règles qui favorisent l’innovation: le règlement imposera que des garanties en matière de protection des données soient intégrées aux produits et services dès la phase initiale de leur conception (protection des données dès la conception). Des techniques de protection de la vie privée comme la pseudonymisation seront encouragées, en vue de tirer parti des avantages de l’innovation des mégadonnées tout en protégeant la vie privée.
plus de notifications: les notifications aux autorités de contrôle constituent une formalité qui représente un coût de 130 millions d’euros par an pour les entreprises. La réforme les éliminera entièrement;
chaque centime compte: lorsque des demandes d’accès à des données sont manifestement infondées ou excessives, les petites et moyennes entreprises seront en mesure d’exiger le paiement de frais pour offrir cet accès;
délégués à la protection des données: les PME sont exemptées de l’obligation de désigner un délégué à la protection des données dans la mesure où le traitement des données n’est pas leur cœur de métier;
analyses d’impact: les PME ne seront pas obligées de procéder à une analyse d’impact, à moins qu’il n’existe un risque élevé.
Il n’y aura désormais qu’un seul droit pour les 28 États membres, directement applicable à ces derniers en vertu de la nature du règlement. Les données personnelles traitées (stockées, collectées, etc.) dans l’UE seront soumises au droit européen même si la société qui effectue le traitement est basée à l’étranger, pour autant que cette société soit active sur le marché unique et offre ses produits et services en Europe. Les sociétés qui fondent leur activité sur le traitement de données personnelles ou celles dont l’activité repose en grande partie sur un tel traitement devront obligatoirement avoir un contrôleur interne à la protection des données.
Sanctions et âge minimal
Des sanctions sont prévues en cas de violations des dispositions du règlement (cf. p. 197). Elles pourront aller jusqu’à 4% du chiffre d’affaire annuel mondial de la société concernée, ce qui peut être colossal en fonction de l’entreprise impliquée.
Bizarrement, le règlement (p. 92) prévoit que l’âge minimal pour utiliser des services de la société de l’information (réseaux sociaux en première ligne) sera élevé à 16 ans. Alors que le droit américain prévoit un âge de 13 ans en dessous duquel un mineur ne peut pas s’inscrire (seul). À moins que l’État membre décide, pour ses citoyens, d’abaisser l’âge limite de 16 à 13 ans (au minimum), tous les mineurs de moins de 16 ans devraient obtenir l’accord de leurs parents pour utiliser des services comme Facebook ou Snapchat. Il est à mon avis assez illusoire de penser que cette clause sera respectée. Mais c’est un problème pour les entreprises qui devront faire des efforts (autrement dit, mettre en place des systèmes) pour vérifier que l’accord parental a été donné. Bonne chance.