Nos anciens articles (avril 2016) – Le RGPD finalement adopté ! [Edit du 4 mai 2016]
[Edit 4 mai 2016 : le règlement 2016/679 vient d’être publié ce jour au Journal Officiel de l’Union Européenne !]
Enfin !
Le Parlement européen a adopté, il y a quelques heures, le Règlement européen relatif à la protection des données à caractère personnel et à la libre circulation de ces données (dit aussi « RGPD »). Pour applaudir et saluer cette adoption comme il se doit, il faut en comprendre la genèse.
Retour sur l’histoire de ce Règlement européen…
Souhaitant réformer la protection des données à caractère personnel pour aboutir à un ensemble de règles uniques, la Commission européenne a proposé un Règlement européen le 25 janvier 2012. Cette proposition a pour objectif de remplacer la Directive 95/46/CE du 24 octobre 1995 afin de mettre à jour les règles qu’elle prévoyait, de l’adapter aux nouveautés technologiques mais surtout de lutter contre la disparité des règles sur la protection des données à caractère personnel pouvant exister entre plusieurs pays européens, du fait de leur transposition. Rappelons en effet que le règlement est un acte normatif à portée générale s’imposant tel que, sans transposition, dans les différents pays européens.
Un Règlement européen de tous les superlatifs ?
Aprement discutée, cette proposition a fait l’objet de près de 5 000 amendements et a été discuté pendant quatre ans, si bien que l’on a cru un instant que le Règlement européen n’allait jamais voir le jour. Mais, les discussions au niveau du trilogue (associant les représentants du Parlement, du Conseil et de la Commission européenne) qui ont débuté en juin 2015 ont réussi à aboutir à un accord de principe le 15 décembre 2015. La version finale du Règlement européen a été rendue publique le 28 janvier 2016 (voir sa version officielle traduite en français) et vient d’être adopté par le Parlement réuni en session plénière ce 14 avril.
La version finale du RGPD comporte pas moins de 173 considérants et 99 articles, le tout sur 260 pages, un texte près de trois fois plus volumineux que celui qu’il remplace (72 considérants et 34 articles pour la directive 95/46).
Son entrée en vigueur est prévue 20 jours après sa date de publication au Journal Officiel (a priori prévue par mi-mai) et sera applicable deux ans après cette date.
Nous reviendrons en détail sur tout ce que texte, fondamental pour la matière d’ici au dix prochaines années, apporte.
Citons néanmoins pêle-mêle :
- L’extension de l’application du texte aux GAFA, celui-ci s’appliquant à ces entreprise hors UE à partir du moment où elles offrent des biens ou des services à des personnes dans l’Union européenne (gratuitement ou pas) ou à partir du moment où elles suivent le comportement de personnes au sein de l’Union européenne ;
- L’application d’une bonne partie de ces règles directement aux sous-traitants devenant coresponsables en cas de problème ou de non respect des règles, notamment de sécurité ;
- La création d’un guichet unique et d’un mécanisme de coordination entre régulateurs nationaux, même si les exceptions existent ;
- Le passage d’un régime de formalités préalables à une exigence de conformité à tout moment des traitements via l’accountability ;
- La création du Délégué à la Protection des Données et la disparition du Correspondant Informatique et Libertés, les passerelles entre ces deux titres étant nombreuses ;
- Le rôle central joué dans l’application du règlement par le Comité Européen de la Protection des Données (ex « groupe de l’article 29 », c’est à dire un comité regroupant les représentants de tous les régulateurs nationaux équivalents de la CNIL en France) ;
- Le renforcement des droits des personnes (effacement, portabilité, consentement, mineurs, etc.) ;
- L’importance de la prise en compte de la protection des données dès la conception des produits ou des services (Privacy by design) accompagné du principe d’activation par défaut des mesures de protection (Privacy by default) ;
- L’analyse d’impact pour les traitements « à risque élevé » pour les droits et libertés des personnes physiques ;
- L’extension à tous les responsables de traitement de la notification des « piratages » de données (appelées « violation de données à caractère personnel ») ;
- La prise en compte de la certification approuvée et des codes de conduite approuvés comme éléments « attestant du respect » de certaines exigences posées par le texte, notamment en terme de sécurité.
Et si l’on parle de ces questions, impossible de passer à côté de la question du transfert des données à caractère personnel en-dehors de la zone UE.
Et pendant ce temps là, le Safe Harbor II ou Privacy Shield…
L’annulation par la Cour de justice de l’Union européenne, le 6 octobre 2015, du Safe Harbor, accord régissant les transferts de données à caractère personnel entre l’Union européenne et les États-Unis a fait couler beaucoup d’encre (pour en savoir plus, cela se passe ici).
À la suite de cette annulation, la Commission européenne et les États-Unis sont parvenus à un accord le 29 février dernier afin de remplacer le Safe Harbor pour autoriser de nouveau les transferts de données personnelles entre l’Union européenne et les États-Unis : c’était la naissance du Privacy Shield.
La veille de l’adoption du Règlement européen, le Groupe dit « de l’article 29 » (cf. ci-dessus) s’est penché sur Privacy Shields regroupant un ensemble de textes. Si elles saluent un « progrès majeur« , elles réclament également un certain nombre d’améliorations (recours plus lisibles, clause de révision prenant en compte le futur règlement, interdiction de collecte massive et indiscriminée, etc.).
Prochaine étape ? Une modification espérée de ce texte d’ici juin. A défaut, les mêmes causes produisant les mêmes effets, une remise en question devant les tribunaux de la valeur de ce « bouclier » est probable. En l’état, seuls les autres « véhicules juridiques » permettant les transferts de données hors UE (contrats type de la commission, BCR, etc.) restent donc utilisables.
Crédits photo : © fotodo – Fotolia.com
