Projet de réforme communautaire des règles de protection des données personnelles

Le 25 janvier 2012, la Commission européenne a proposé une réforme globale des règles adoptées en 1995 en matière de protection des données personnelles.

La proposition poursuit un double objectif :
– d’une part, mettre fin à la fragmentation juridique actuelle et aux lourdes charges administratives pesant sur les entreprises ;
– d’autre part, contribuer à renforcer la confiance des consommateurs dans les services en ligne.

Ce projet de réforme inclut une communication exposant les objectifs de la Commission ainsi que deux propositions de texte : un règlement définissant un cadre général de protection des données personnelles, et une directive relative à la protection de ces données dans le cadre de la prévention, de la détection et de la poursuite des infractions pénales.

Les principales modifications apportées par la réforme sont notamment les suivantes :
– un corpus unique de règles applicables dans toute l’Union Européenne : les obligations administratives considérées comme inutiles (comme celles en matière de notification) seront supprimées ;

– en contrepartie de cet assouplissement, le projet de règlement prévoit de nouvelles obligations incombant aux entités qui procèdent au traitement des données à caractère personnel et accroît leur responsabilité ; par exemple, les entreprises devront dans les plus brefs délais notifier, comme l’autorité de contrôle national, les violations graves des données personnelles.

– les entités n’auront plus comme interlocuteur qu’une seule autorité nationale chargée de la protection des données dans le pays de l’Union Européenne où elles ont leur établissement principal ; néanmoins, les particuliers pourront s’adresser à l’autorité chargée de la protection des données dans leur pays de résidence, même lorsque leurs données seront traitées par une entreprise établie en dehors de l’Union Européenne.

– L’accès des personnes concernées à leurs propres données personnelles sera facilité, de même que le transfert de données d’un prestataire de services à un autre.

– Un droit à l’oubli numérique sera institué et permettra ainsi la suppression des données lorsqu’aucun motif légitime ne justifie leur conservation.

– Les règles communautaires s’appliqueront même lorsque les données personnelles feront l’objet d’un traitement en dehors de l’Union par des entreprises implantées sur le marché européen et proposant leurs services aux citoyens européens.

– Les prérogatives des autorités nationales chargées de la protection de données seront renforcées afin qu’elles puissent mieux faire appliquer et respecter les règles de l’Union Européenne ; elles auront la possibilité d’infliger des amendes qui pourront atteindre un million ou 2 % du chiffre d’affaire global de l’entreprise.

– Une nouvelle directive traitera des règles et principes généraux relatifs à la protection des données en matière de coopération policière et judiciaire pénale.

Les propositions de la Commission sont transmises au Parlement Européen et aux Etats membres de l’Union Européenne afin qu’elles soient examinées et débattues.

Les textes devraient entrer en vigueur deux ans après leur adoption.