Le Parlement européen adopte le règlement sur la protection des données
Après plus de quatre ans de débats, le Parlement européen a adopté jeudi le paquet sur la protection des données, qui comporte d'une part une directive sur les transferts de données à des fins policières et judiciaires, et d'autre part le très riche règlement de protection des données, qui entrera en vigueur d'ici deux ans. Le règlement remplace l'actuelle directive de 1995, et présente par nature l'avantage de ne pas nécessiter de mesures d'adaptation par les différents états membres de l'Union européenne.
Opposable y compris aux entreprises basées hors de l'UE qui ciblent des consommateurs européens, le texte détermine le socle minimum de droits et de devoirs applicables aux traitements de données personnelles, notamment sur Internet.
Parmi les mesures notables, pour la plupart déjà prévues par le droit français ou anticipées dans le cadre du projet de loi numérique, figurent :
L'obligation de recueillir un consentement « clair et explicite » (article 7) avant tout traitement de données personnelles. Il sera interdit de se contenter par exemple d'une politique de vie privée accessible par un lien, ou même de cocher par défaut par des cases de recueil du consentement. Celui-ci devra être en opt-in uniquement.
L'interdiction aux enfants des réseaux sociaux ou autres services collecteurs de données, sauf autorisation des parents (article 8). Les états membres pourront fixer la limite d'âge entre 13 et 16 ans, selon leur sensibilité.
La reconnaissance d'un « droit à l'oubli » (article 17) qui permet à un individu de demander l'effacement des données qui la concernent, y compris chez les sous-traitants ou partenaires, à condition que leur conservation ne soit pas nécessaire pour un motif légitime (recherches historiques, scientifique, statistiques, santé publique, exécution d'un contrat...), y compris le droit à la liberté d'expression.
Le droit à la portabilité des données (article 20) qui offre aux utilisateurs d'un service en ligne la possibilité de prendre leurs données avec eux pour les importer vers un service concurrent, par exemple pour changer de fournisseur de messagerie électronique sans avoir à perdre ses contacts ou ses messages.
La limitation du profilage par algorithmes (article 21). En principe, aucune décision ne doit pouvoir être prise sur la base d'une détermination purement algorithmique du profil de la personne. Par ailleurs, celui-ci n'est autorisée que si la personne donne son consentement. La portée exacte de l'article reste toutefois à analyser, tant il semble souple.
Le droit d'être informé en cas de piratage des données (articles 33 et 34) : si une entreprise ou une organisation quelconque est victime d'un piratage de données de ses clients ou de tiers, elle devra immédiatement en informer l'autorité de protection des données (en France la Cnil), et dans le cas où cette divulgation ne pose pas de problème de sécurité, en informer les principaux concernés.
La possibilité d'infliger des amendes jusqu'à 4 % du chiffre d'affaires mondial d'une entreprise, lorsqu'elle viole le droit à la protection des données. La sanction sera d'autant plus forte que la violation sera grave et consciente. Actuellement, le droit français n'autorise la CNIL qu'à infliger des amendes de 150 000 euros maximum, ce qui est ridiculement faible lorsqu'il s'agit de condamner des Google ou Facebook.
Nous aurons l'occasion de revenir plus en détails sur ces différentes mesures et le paquet de protection des données, qui seront applicables à partir de 2018.