Enfin un premier pas vers une Europe de la donnée

Reynald Fléchaux,
Commission européenne (crédit photo © Xavier Pironet - shutterstock)

Un compromis se dégage pour le futur règlement européen sur la protection des données. Le texte doit simplifier les démarches administratives des entreprises, mais aussi renforcer leurs obligations légales.

Après plus de trois ans de discussions tendues, un compromis a été trouvé entre le Parlement européen et le Conseil de l’Union européenne sur le projet de règlement européen en matière de protection des données. Initié par la Commission en 2012, le texte vise à créer un espace européen unique de la donnée et à moderniser la dernière législation en date sur le sujet, datant de 1995. Le règlement devrait ainsi satisfaire l’attente de simplification des entreprises : celles-ci n’auront plus à se tourner vers les différentes autorités de régulation nationales (comme la CNIL en France) pour déclarer leurs traitements de données dans les 28 pays de l’Union, l’autorité du pays où est situé leur siège deviendra leur unique interlocuteur. Une nouvelle instance, le European Data Protection Board, sera chargée de coordonner les autorités nationales et de s’assurer de l’application de la réglementation. « Dès 2018, une décision prise par une des autorités nationales de régulation sera applicable sur tout le territoire de l’Europe », affirmait récemment Édouard Geffray, le secrétaire général de la CNIL.

« Les nouvelles règles donneront aux entreprises une meilleure visibilité juridique en créant un standard de protection des données unique en Europe, a expliqué Jan Philipp Albrecht, le rapporteur du Parlement européen sur ce texte. Cela signifie moins de bureaucratie et va créer un nouveau terrain de jeu pour toutes les entreprises sur le marché européen. »

Rapports de fuite

Si l’exigence de simplification devrait donc être satisfaite, le projet de règlement se traduit surtout par un renforcement des contraintes pesant sur les entreprises. D’abord, la future régulation prévoit que les consommateurs devront donner leur consentement explicite à l’utilisation de leurs données. Le texte entérine aussi les principes de droit à l’oubli – l’effacement d’informations personnelles jugées obsolètes par les individus concernés – et de portabilité des données – le transfert d’une plateforme à une autre. S’y ajoute l’obligation de déclarer toute fuite de données à l’autorité de régulation compétente. Initialement de 24 heures, le délai accordé pour cette déclaration aurait été porté à 72 heures.

Par ailleurs, et même si ce n’est pas une nouveauté dans l’Hexagone, toutes les entreprises opérant sur le territoire de l’Union devront se doter d’un responsable des données personnelles « si elles traitent des données sensibles à grande échelle ou collectent des données sur les consommateurs ». Ces obligations sont assorties de sanctions renforcées, pouvant aller jusqu’à 4 % du chiffre d’affaires global de l’entreprise concernée. Soit, dans le cas des GAFA, une menace se chiffrant à plusieurs milliards de dollars. La sanction sera toutefois proportionnelle au préjudice, promet Bruxelles.

Un vote en 2016 et deux ans de transposition

Le texte, qui est désormais accompagné d’une directive facilitant les échanges de données entre les autorités des différents pays (lutte contre le terrorisme oblige), laissera aux Etats membres la liberté de fixer l’âge en dessous duquel toute ouverture de compte sur un réseau social devra passer par un accord parental. Mais l’Europe exigera que cette ‘majorité en ligne’ soit comprise entre 13 et 16 ans.

Si le texte demande de sérieuses adaptations aux entreprises américaines – on pense en particulier aux réseaux sociaux comme Facebook ou Instagram ou aux services de Cloud comme Amazon ou Google -, elles disposent encore d’un délai confortable pour évoluer. Une fois le compromis adopté mardi soir approuvé en commission, il doit être voté par le Parlement en 2016. Passé cette étape, chaque Etat membre disposera alors de deux ans pour mettre en conformité leur législation respective. Même si son statut de règlement fait qu’il s’imposera automatiquement, dans deux ans, à tous les pays de l’Union et que sa transposition en droit national ne peut aboutir à des standards de protection de données inférieurs à ceux qu’il instaure.

A lire aussi :

Internet des objets : la révolution industrielle que l’Europe ne doit pas rater

Safe Harbor 2 : l’UE prévoit une clause de suspension

Max Schrems, le tombeur du Safe Harbor, s’attaque à la localisation des données

crédit photo © Xavier Pironet – shutterstock