Review of the proposed General Data Protection Regulation, as adopted by the European Parliament on 12 March 2014

De La Quadrature du Net
Cette page est une version traduite de la page Synthèse du règlement sur la protection des données et la traduction est complétée à 13 %.


Ambox warning red construction.png
⚠ Travail en cours

Cette page présente un contenu en cours de réalisation.

Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.


Autres langues :
English • ‎français

On 25 January 2012, the European Commission published their [1] "on the protection of individuals with regard to the processing of personal data".

Le Parlement européen a modifié ce règlement et l'a adopté en 1ère lecture, le 12 mars 2014 [2] [3]. Le Conseil de l'Union européenne (qui réunit les ministres des Etats membres) a proposé un texte amendé et les négociations devraient se poursuivre en procédure de conciliation, plus communément appelée trilogue car cette procédure réunit des délégations de la Commission européenne, du Parlement européen et du Conseil de l'UE.

Ce "paquet législatif" a pour objectif de mettre à jour les règlementations européennes sur la protection des données personnelles, pour les adapter aux transformations de la société, dues aux nouvelles technologies. La directive 95/46/CE [4] pour la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données présentait en effet des lacunes fortes, notamment pour la protection des données sur Internet. Le texte apporte des changements fondamentaux ayant des conséquences directes sur l'internaute.

Les trilogues ou négociations entre les institutions européennes ont débuté le 24 juin 2015. Plusieurs réunions en trilogue sont prévues les mois prochains afin de traiter les différents chapitres du Règlement.

Le trilogue du 14 juillet a porté sur les points suivants :

  • Article 3 – Champ territorial
  • Article 4 – Définitions, en particulier le paragraphe(14) sur les représentants
  • Article 25 – Les représentants des responsables de traitement non-établis dans l'UE
  • Chapitre V – Les transferts de données personnelles aux pays tiers et organisations internationales


Un trilogue est prévu au courant du mois de septembre 2015, pour aborder les points suivants :

  • Le chapitre II sur Les principes de protection des données
  • Le chapitre III sur les droits des utilisateurs
  • Le chapitre IV sur le responsable et le sous-traitant

En italique, les passages effacés du texte du Parlement Européen dans la version du Conseil

En gras, les passages ajoutés dans la version du Conseil de l'Union européenne

Le champ d'application territorial du Règlement

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue
1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, whether the processing takes place in the Union or not. 1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or aprocessor in the Union. 1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless

of whether the processing takes place in the Union or not.

Le texte adopté par le Parlement européen étendait déjà le champ de son application territoriale par rapport à la proposition de la Commission (article 3). Le Règlement avait ainsi vocation à s'appliquer « que le traitement des données ait lieu ou pas dans l’Union ».
Évolution avec le Conseil de l'Union européenne : efface cette mention et crée un vide juridique concernant la délocalisation des traitements. Le règlement serait donc inapplicable lorsque des sous-traitants sont situés dans des pays extérieurs à l'Union, tandis que le siège du responsable est au sein de l'Union européenne. Dans la même idée, la mention de "sous-traitant" est retirée plus loin (article 3§2), dans les cas où les activités de traitement concernent les personnes résidant dans l'Union européenne.
La tentative d'accord : souhaite conserver la proposition plus protectrice du Parlement européen.

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue
2. This Regulation applies to the processing of personal data of data subjects in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of such data subjects

2.This Regulation applies to the processing of personal data of data subjects residing in the Union by a controller not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment by the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the European Union.

2. This Regulation applies to the processing of personal data of data subjects present in the Union by a controller or processor not established in the Union, where the

processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the European Union.

Le Règlement, dans la version du Parlement, s'applique également au responsable du traitement des données ou à un sous-traitant, non-établis dans l'Union, lorsque ses activités de traitement concernent l'offre de biens ou de services, ou la surveillance des comportement des utilisateurs observés au sein de l'Union. La surveillance du comportement d'un utilisateur signifie que ce dernier est "suivi" sur internet au moyen de techniques de traitement des données qui consistent au profilage d'un individu pour prendre des décisions le concernant, ou pour analyser voire prédire son ou ses préférences personnelles, son comportement et ses attitudes (considérant 21).

Now the Council of the European Union (also known as the Council of Ministers, it brings together the ministries of member states) is considering the proposals. Negotiations between the European Council, Parliament and Commission – referred to as a “trialogue” - are expected to come to a conclusion at the end of 2015.
 The aim is to bring European legislation on the use of personal data up to date with technical, commercial and societal changes brought about by the digital age. The previous legislation, a directive - hence legislation that relies on being transposed into national law as opposed to a regulation that applies to all member states equally - dates from 1995, [5], fails on many counts but most notably on the protection of personal data.


The proposed texts introduce some fundamental changes that directly impact internet users:


Data Subject Consent

La personne concernée doit donner son accord, avant que le responsable procède au traitement des données (article 6§1). C'est le cas, par exemple, lors d'une inscription sur un réseau social (Facebook , Twitter..), où l'internaute accepte que l'entreprise traite ses données. Le consentement de la personne concernée doit ainsi être «  libre, spécifique, informé et explicite » (article 4§8). L'internaute peut se rétracter aussi aisément qu'il a donné son consentement. Or, la condition du consentement n'est pas absolue. Il est possible de se passer du consentement de la personne concernée lorsqu'il existe, par exemple, un "intérêt légitime" pour le responsable de traitement. Cette dernière possibilité est une faille dangereuse, la notion d' «  intérêt légitime » étant bien trop large et non-définie par le Règlement.

Évolution avec le Conseil de l'Union européenne :
Le Conseil souhaite que l'indication soit juste spécifique et informée (article 4 ). Il indique dans les considérant - à l'inverse du Parlement - qu'une navigation sur un site constitue un consentement suffisant (en fonction du paramétrage du navigateur).

Il réintègre l'article 6.4 qui permet de détourner le consentement explicite. Les cas sont les suivants :

  • Si l'objectif du traitement est compatible avec celui pour lequel le consentement a été donné, alors il n'y a pas de conditions supplémentaires
  • Si l'objectif du traitement n'est pas compatible avec celui pour lequel le consentement a été donné :

Soit il y a une base légale (archivage dans l'intérêt public, scientifique, statistique ou historique), dans en vue des besoins d'une éventuelle résolution de conflit, etc.
Soit il faut que l'intérêt à agir (à traiter la donnée) soit supérieur à celui de la personne concernée. Cela permettrait l'autorisation du big data sans le consentement de la personne, et cela est justifié notamment pour des raisons d'innovation.
Le contrôleur européen des données personnelles est en désaccord avec la proposition du Conseil d'autoriser les entreprises à traiter les données ou à les partager avec un tiers, s'il existe pour elle un intérêt légitime. La protection des individus serait insuffisante face à l'intérêt légitime d'une entreprise de vendre ses données pour faire du profit [6].

Concernant les conditions du consentement (article 7) et plus particulièrement sa force, celle-ci est décrue par les propositions du Conseil :

Parlement européen Conseil de l'Union européenne Propositions du CEPD (Contrôleur européen de la protection des données)

4. Consent shall be purpose-limited and shall lose its validity when the purpose ceases to exist or as soon as the processing of personal data is no longer necessary for carrying out the purpose for which they were originally collected. The execution of a contract or the provision of a service shall not be made conditional on the consent to the processing of data that is not necessary for the execution of the contract or the provision of the service pursuant to Article 6(1), point (b).

effacé

4. When assessing whether consent is freely given, it must be considered, among others: (a) whether there is a significant imbalance between the data subject and the controller, and (b) in cases of processing under Article 6(1)(b), whether the execution of a contract or the provision of a service is made conditional on the consent to the processing of data that is not necessary for these purposes.

Le Parlement affirme que le consentement devrait-être limité à une finalité, et perdre sa validité lorsque la finalité disparaît.

Évolution avec le Conseil de l'Union européenne : suppression de cette mention. Le consentement perd ainsi sa qualité d'élément essentiel et est dénaturé. Il peut-être détourné facilement par une entreprise pour une finalité autre que celle à laquelle l'utilisateur a donné son accord.

Les droits des personnes concernées

La dernière version adoptée par le Parlement Européen, introduit un nouvel article sur la protection des données des utilisateurs (dites "personnes concernées") (article 10bis §2).

Le profilage

Cet article ouvre la possibilité de sanctionner le profilage. Le profilage est décrit comme un traitement automatisé de données permettant d'évaluer "certains aspects personnels propres à une personne physique ou à prévoir le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement"(article 4§3 bis). Le profilage constitue un outil très puissant pour les Etats ou les entreprises à qui les données sont transmises. Il peut s'agir, pour une entreprise privée, d'effectuer un profilage des individus, pour mieux connaître leurs habitudes de consommations et davantage cibler les actions de promotion. Le profilage représente également un intérêt pour les Etats, à des fins de sécurité publique. Il s'agit ainsi de surveiller une personne ou un groupe de personnes, à partir de leurs données, afin de connaître leurs habitudes de vie, lieux de séjour et déplacements, ainsi que leurs activités et relations internationales. Le profilage doit être interdit s'il est discriminatoire, basé par exemple sur l'origine ethnique ou sur l'opinion d'un utilisateur.

La portabilité des données

Le nouveau texte supprime le droit à la portabilité des données, autrement dit, la possibilité pour l'internaute de demander le transfert de ses données personnelles vers de nouveaux prestataires (même principe que la portabilité des numéros de téléphone). Cet article proposé par la Commission européenne et supprimé par le Parlement européen prévoyait entre autre une interopérabilité des systèmes et plateformes pour permettre la portabilité des données. L'interopérabilité correspond à la capacité d'un système informatique à fonctionner avec d'autres systèmes ou plateformes, sans restriction d'accès ou de mise en oeuvre. Elle est une condition nécessaire à la portabilité qui désigne la possiblité de porter ses données d'un système à un autre, ou de les partager entre plusieurs systèmes.

Évolution avec le Conseil de l'Union européenne : réinstaure le droit à la portabilité qui avait été supprimé de la version du Parlement (article 18). Il s'agit ainsi du droit à l'accès et au transfert de celles-ci à un autre système lorsque le traitement est automatisé et que l'internaute y a consenti.
La portabilité ne doit néanmoins pas avoir lieu s'il s'agit d'un traitement mené dans l'intérêt public ou effectué par une autorité publique.


The 'right of information' is accorded to the user (see Recital 59). This information includes the purposes for which the data are being collected and the length of its retention. The user should know the identity of the data controller and be informed if the data are passed to third parties for commercial ends. 


The regulation specifies 'the right to erasure' of data of a personal nature under certain conditions (Article 17). An individual may request that their data be deleted when “the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed” or when the data subject withdraws consent. The Parliament added that the right to erasure is also possible after a decision by a court or regulatory authority based in the EU or when the data “has been unlawfully processed" while restricting this right to cases other than when the data is needed “for exercising the right of freedom of expression” (Article 17(3a)).

Évolution avec le Conseil de l'Union européenne : Le droit à l'effacement devient presque absolu lorsque les données ont été recueillies quand l'utilisateur était un enfant. Dans ce cas, le responsable a l'obligation d'effacer ces données, sur la demande de l'utilisateur.
Il ajoute cependant qu'en cas d'objection de l'utilisateur au traitement de ses données, le responsable devra les effacer que s'il n'existe pas un intérêt légitime supérieur, justifiant leur conservation. Cette exception limite considérablement le droit des utilisateurs de disposer de leurs données personnelles.

La notion de données pseudonymisées

Le rapport a introduit dans le texte la notion de «données pseudonymisées », concernant les fins de recherche qui font exception à l'accord de l'internaute. Les données pourraient être uniquement « pseudonymisées », au lieu d'être «  anonymisées » lorsque cela n'est pas possible, pour ces fins (article 81 2bis). Le terme « pseudonymisées » n'est pas employée de manière anodine. Les données « anonymisées » sont des données à partir desquelles il n'est pas possible d'isoler et d'identifier un individu. Son anonymat étant ainsi pleinement respecté. Les données « pseudonymisées » restent en revanche relatives à un individu identifiable, en raison du lien existant entre le pseudonyme et les données d'identification (nom, prénom, adresse...) disponible pour l'organisation collectant l'information. En outre, il est extrêmement aisé d'identifier un individu avec relativement peu de données pseudonymisées. Par conséquent, la pseudonymisation n'est pas une solution suffisamment protectrice pour les utilisateurs qui peuvent être identifiés trop facilement.

Les obligations du responsable du traitement garantissant la protection des données

Le responsable de traitement doit assurer la protection des données des personnes concernées par le traitement. Il a ainsi trois obligations principales :

  • Une obligation de documentation (article 28) des traitements réalisés. Ces documents pourront être vérifiés à tout moment par l'autorité nationale de contrôle, sous peine de sanctions.
  • Une obligation de réaliser une étude d'impact pour les traitements à risque (article 32 bis). Celle-ci doit-être réalisée systématiquement lorsque le traitement présente des risques particuliers pour les droits et libertés des personnes (ex : données sensibles, fichiers de grande ampleur concernant des enfants, données génétiques, biométriques).
  • Une obligation d'assurer la sécurité du traitement des données, en garantissant sa confidentialité, et l'intégrité de la personne concernée.

Les accords internationaux

Il existe trois types d'accords internationaux portant sur le traitement des données personnelles :

  • Les accords avec les pays dont le niveau de protection est équivalent (article 41) ;
  • L'«Umbrella agreement» (article 42) ;
  • Les accords avec les autres pays moyennant des garanties suffisantes (article 42) ;

Les accords avec les pays dont le niveau de protection est équivalent

Ces accords concernent a priori les pays européens situés en dehors de l'Union européenne (exemples : Irlande, Norvège etc.). Le transfert n'est, dans ce cas, pas soumis à une autorisation supplémentaire. La Commission doit prendre en compte certains éléments lors de l'évaluation du niveau adéquat de protection :

  • Le respect de la loi, notamment des droits de l'Homme et des libertés fondamentales, ainsi que les lois sur les données personnelles (a). Évolution apportée par le Conseil : suppression de la mention de sécurité publique et ajout des règles spécifiques sur le transfert des données personnelles à des pays tiers ou à des organisations internationales, ainsi que l'existence de droits des personnes concernées.
  • Un pouvoir de sanction suffisant (b) ; Évolution apportée par le Conseil et la tentative d'accord : un pouvoir de sanction adéquat.
  • Toute convention légalement formée ou tout instrument respectant la protection des données personnelles doit être pris en compte (c) ; Évolution apportée par le Conseil et la tentative d'accord: toute obligation naissant de la participation du tiers dans un système régional ou multilatéral, en particulier en relation avec la protection des données personnelles est aussi un élément qui doit être pris en compte.

L'«Umbrella agreement»

Un accord entre l'Union européenne et les États-Unis, non-prévu par le Règlement, dont la négociation a commencé en 2010 mais n'a pas encore aboutie. Le but de cet accord est d'assurer un haut niveau de protection des données personnelles, ainsi que d'améliorer la coopération entre l'Union européenne et les États-Unis dans le cadre de la prévention, l'investigation et la détection de la criminalité [7]. Cet accord vise également à assurer un droit de recours effectif à l'utilisateur, également à encadrer plus strictement les finalités et les modalités du transfert, ainsi que la durée de rétention de données.

Les accords avec les autres pays moyennant des garanties suffisantes

En l'absence d'une décision de la Commission, un responsable peut opérer un transfert de données personnelles dans un pays tiers ou une organisation internationale en prenant des garanties suffisantes pour couvrir le transfert. Il s'agit notamment des accords entre les Etats membres de l'Union et les pays tiers, tels que le Safe Harbor. Le «Safe Harbor» ou havre de sécurité permet aux entreprises américaines opérant en Europe, de transférer les données des citoyens européens vers les États-Unis, et de les exploiter commercialement. En contrepartie, l'entreprise est tenue de respecter les lois européennes, plus protectrices que les lois américaines dans le domaine de la protection des données. Par exemple, le transfert de données n'est possible que si l'individu a la liberté de s'y opposer. Le Safe Harbor prévoit également un système d'auto-certification des entreprises, et une possibilité de notification à un autorité ayant un pouvoir de sanction en cas de non de respect de ces règles. Or, ce système reste cependant peu contraignant et peu protecteur des données personnelles.

Environ 4500 entreprises sont concernées par cet accord, dont la moitié sont des entreprises européennes [8]. L'accord du «Safe Harbor« avait été mis en place en 2000. Il a cependant vocation à être renégocié étant donné que le règlement a pour mission de créer des garanties de protection plus grandes que la directive de 1995 pour les citoyens européens. Il est en réalité difficile pour un utilisateur résidant dans l'Union de saisir une autorité judiciaire ou administrative américaine, les citoyens européens n'ayant pas les mêmes recours que les résidents américains. L'un des points bloquants :l'Union européenne demande que les entreprises qui obtiennent la certification indiquent dans leurs politiques de confidentialité, les informations concernant la loi américaine, qui permet aux autorités publiques de recueillir et traiter les données transférées dans le cadre du «Safe Harbor». Cf : la surveillance effectuée par la NSA. Le Parlement n'est pas favorable à cet accord. Il avait voté, en parallèle du Règlement, une résolution demandant la suspension de cet accord. Les Etats membres, quant à eux, sont divisés. La France est réticente, au contraire de l'Allemagne qui est en faveur de ce type d'accords.

A heavy monetary penalty

If the data processors, most notably enterprises, fail to comply to the rules, the supervisory authority can impose a fine up to 100 000 000 EUR or 5% of their annual worldwide turnover, whichever is higher. (See Article 79(2a)) 


Références

  1. proposal for a regulation
  2. Fiche de procédure 2012/0010 (COD)
  3. Texte du Règlement, version du 12 mars 214
  4. Texte de la directive 95/46/CE
  5. Directive 95/46/CE
  6. [1]
  7. [2]
  8. [3]