Trilogue/ Trilogue Data protection

De La Quadrature du Net


Ambox warning red construction.png
⚠ Travail en cours

Cette page présente un contenu en cours de réalisation.

Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.


Rappel des étapes de l'adoption du Règlement sur les données personnelles :

  • Proposition d'un Règlement général sur la protection des données adopté par le Parlement, le 25 janvier 2012 pour remplacer la Directive 95/46/EC. Ce règlement est complété par une Directive sur le traitement des données 5833/12, adoptée par le Parlement également et en attente de lecture au Conseil.
  • Le Parlement européen a adopté, en première lecture, le Règlement et la directive, le 12 mars 2014.
  • Le Conseil de l'UE adopte son approche générale ("General Approach") du règlement, le 15 juin 2015.

Les trilogues ou négociations entre les institutions européennes ont débuté le 24 juin 2015. Plusieurs réunions en trilogue sont prévues les mois prochains afin de traiter les différents chapitres du Règlement.

Le trilogue du 14 juillet a porté sur les points suivants :

  • Article 3 – Champ territorial
  • Article 4 – Définitions, en particulier le paragraphe(14) sur les représentants
  • Article 25 – Les représentants des responsables de traitement non-établis dans l'UE
  • Chapitre V – Les transferts de données personnelles aux pays tiers et organisations internationales

En italique, les passages effacés du texte du Parlement Européen dans la version du Conseil

En gras, les passages ajoutés dans la version du Conseil de l'Union européenne


Article 3 – Champ territorial[modifier]

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue
1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, whether the processing takes place in the Union or not. 1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or aprocessor in the Union. 1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless

of whether the processing takes place in the Union or not.

Le texte adopté par le Parlement européen étendait déjà le champ de son application territoriale par rapport à la proposition de la Commission. Le Règlement avait ainsi vocation à s'appliquer « que le traitement des données ait lieu ou pas dans l’Union ». Le Conseil de l'Union européenne efface cette mention. Cela crée un vide juridique concernant la délocalisation des traitements. Il s'agit ainsi des sous-traitants situés dans des pays extérieurs à l'Union, tandis que le siège du responsable est au sein de l'Union européenne. Dans la même idée, la mention de "sous-traitant" est retirée plus loin (article 3§2), dans les cas où les activités de traitement concernent les personnes résidant dans l'Union européenne. La tentative d'accord souhaite conserver la proposition plus protectrice du Parlement européen.

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue
2. This Regulation applies to the processing of personal data of data subjects in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of such data subjects

2.This Regulation applies to the processing of personal data of data subjects residing in the Union by a controller not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment by the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the European Union.

2. This Regulation applies to the processing of personal data of data subjects present in the Union by a controller or processor not established in the Union, where the

processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the European Union.

Le Règlement, dans la version du Parlement, s'applique également au responsable du traitement des données ou à un sous-traitant, non-établis dans l'Union, lorsque ses activités de traitement concernent l'offre de biens ou de services, ou la surveillance des comportement des utilisateurs observés au sein de l'Union. La surveillance du comportement d'un utilisateur signifie que ce dernier est "suivi" sur internet au moyen de techniques de traitement des données qui consistent au profilage d'un individu pour prendre des décisions le concernant, ou pour analyser voire prédire son ou ses préférences personnelles, son comportement et ses attitudes (considérant 21).

Article 4 – Définitions[modifier]

Commission européenne Parlement européen Conseil de l'Union européenne
‘representative’ means any natural or legal person established in the Union who,explicitly designated by the controller, acts and may be addressed by any supervisory authority and other bodies in the Union instead of the controller, with regard to the obligations of the controller under this Regulation; ‘representative’ means any natural or legal person established in the Union who, explicitly designated by the controller represents the controller, with regard to the obligations of the controller under this Regulation; ‘representative’ means any natural or legal person established in the Union who, designated by the controller in writing pursuant to Article 25, represents the controller, with regard to the obligations of the controller under this Regulation;

Le représentant, tel que défini par le Parlement est une personne établie dans l'Union européenne, qui est expressément désignée par le responsable du traitement, afin de représenter ce dernier, eu égard aux obligations qui lui incombent. Il peut s'agir, par exemple, de l'avocat de l'entreprise de traitement.

Les versions du Parlement et du Conseil effacent la mention présente dans le texte de la Commission indiquant que le représentant doit agir et peut-être sollicité par les autorités de surveillance et d'autres institutions de l'Union à la place du responsable. Le représentant n'est donc bien qu'un représentant (conseil juridique ou autre) et ne répond pas des actes du responsable du traitement à sa place.

Le Conseil supprime également la mention de désignation "explicite" du Parlement pour renvoyer directement à l'article 25 qui encadre notamment les conditions de nomination des représentants. La proposition de compromis envoyée par le Parlement européen est une définition très proche de celle du Conseil.

Article 25 – Représentants des responsables du traitement qui ne sont pas établis dans l'Union[modifier]

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue
2. This obligation shall not apply to:

(a) a controller established in a third country where the Commission has decided that the third country ensures an adequate level of protection in accordance with Article 41; or

(b) a controller processing personal data which relates to less than 5000 data subjects during any consecutive 12-month period and not processing special categories of personal data as referred to in Article 9(1), location data or data on children or employees in large-scale filing systems; or

(c) a public authority or body; or

(d) a controller offering only occasionally offering goods or services to data subjects residing in the Union, unless the processing of personal data concerns special categories of personal data as referred to in Article 9(1), location data or data on children oremployees in large-scale filing systems.

3. The representative shall be established in one of those Member States where the offering of goods or services to the data subjects, or the monitoring of them, takes place.

4. The designation of a representative by the controller shall be without prejudice to legal actions which could be initiated against the controller itself.

2. This obligation shall not apply to:

deleted

(b) processing which is occasional and unlikely to result in a risk for the rights and freedoms of individuals, taking into account the nature, context, scope and purposes of the processing; or

(c) a public authority or body; or deleted

3. The representative shall be established in one of those Member States where the data subjects whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, reside.

3a. The representative shall be mandated by the controller to be addressed in addition to or instead of the controller by, in particular, supervisory authorities and data subjects, on all issues related to the processing of personal data,for the purposes of ensuring compliance with this Regulation.

4. The designation of a representative by the controller shall be without prejudice to legal actions which could be initiated against the controller itself.

2. This obligation shall not apply to:

deleted

(b) [a controller processing personal data which relates to less than 5000 data subjects during any consecutive 12-month period and not processing special categories of personal data as referred to in Article 9(1), location data or data on children or employees in large- scale filing systems;] or

(c) a public authority or body; or

deleted

3. The representative shall be established in one of those Member States where the data subjects whose personal data are processed in relation to the offering of goods or services to them, or whose bevahiour is monitored, are present.

3a. The representative shall be mandated by the controller to be addressed in addition to or instead of the controller by, in particular, supervisory authorities and data subjects, on all issues related to the processing of personal data, for the purposes of ensuring compliance with this Regulation.

4. The designation of a representative by the controller shall be without prejudice to legal actions which could be initiated against the controller itself.

La nomination d'un représentant est obligatoire lorsque le traitement des données s'applique aux personnes résidants dans l'Union européenne, lorsque le responsable n'est pas établi dans l'Union européenne. Cette obligation disparait dans certains cas (§2). Deux cas ont été supprimés par le Conseil :

  • Cas 1 - Le contrôleur est établi dans un pays tiers dont le niveau de protection est suffisant : il n'est pas nécessaire pour le responsable du traitement de désigner un représentant (versions de la Commission européenne et du Parlement européen). Il ne parait pas anormal que tout responsable de traitement basé dans un pays tiers ait un représentant dans l'Union européen dès lors que le traitement concerne des données de personnes qui résident dans un pays de l'UE.
  • Cas 2 - Le responsable propose des produits ou des services de manière occasionnelle aux personnes concernées résidant dans l'Union européenne. Cette exception tombe si le traitement concerne des catégories spécifiques plus sensibles.

L'un des cas fait l'objet de débats et aucune réponse satisfaisante n'a été apportée

  • Cas 3 - Une exception peut être possible en fonction de la taille de l'entreprise (version de la Commission) ou du nombre de personnes touchées par le traitement (version du Parlement).

Le Conseil propose une indication plus précise sur le traitement en lui-même. Si ce dernier est occasionnel et peu à même de résulter en un risque pour les droits et libertés des individus, en prenant en compte la nature, le contexte, le champ et le but du traitement, le responsable du traitement échappe à la désignation d'un responsable. En se basant sur la finalité du traitement et non sur la structure de l'entreprise, cette disposition fait peser un risque quant à la marge d'appréciation des entreprises pour l'application de cette exception. Une solution de compromis qui permettrait une réelle protection serait de coupler une taille maximale d'entreprise (250 employés) et un nombre maximum de personnes concernées par le traitement (5000 sur une période de 12 mois consécutifs), dès lors que les données traitées ne sont pas sensibles (voir art. 9 : idées et croyances, orientation sexuelle, genre, données biométriques, etc.).

Le représentant doit-être établi dans l'un des Etats membres, lieu de résidence de l'utilisateur dont les données sont traitées en lien avec l'offre de produits ou de services, et dont le comportement est surveillé (version du Conseil de l'Union européenne et de la Commission). La version du Parlement ne mentionnait pas le "lieu de résidence" mais prenait uniquement compte du lieu d'échange de produits et de services. Le Conseil de l'Union européenne apporte un élément nouveau (3a), et détermine ainsi que le représentant soit mandaté par le responsable du traitement afin que les autorités de contrôle s'adressent à lui directement concernant les problèmes liés au traitement des données.

Chapitre V Transfert des données perso aux pays tiers ou aux organisations internationales[modifier]

Les transferts de données aux pays tiers et aux organisations internationales peuvent-être effectués de plusieurs manières. Ils peuvent être décidés par la Commission, sur la base de certains critères, ou, en l'absence de décision de sa part, être l'objet d'un accord spécifique avec ces tiers. Ces accords spécifiques existaient déjà en présence de la directive de 1995. Le Parlement Européen avait voté, en parallèle du Règlement, une résolution demandant la suspension de deux accords : Safe Harbor et SWIFT. Le Safe Harbor ou havre de sécurité permet aux entreprises américaines opérant en Europe, de transférer les données des citoyens européens vers les Etats-Unis, et de les exploiter commercialement. En contrepartie, l'entreprise est tenue de respecter les lois européennes, plus protectrices que les lois américaines dans le domaine de la protection des données. L'accord du Safe Harbor avait été mis en place en 2000. Il a cependant vocation à être renégocié étant donné que le règlement a pour mission de créer des garanties de protection plus grandes que la directive de 1995 pour les citoyens européens.

Article 40 – Principes généraux des transferts[modifier]

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue

La version du Conseil supprime les principes généraux encadrant non seulement les transferts de données, entre un pays de l'Union et un pays tiers, mais également les seconds transferts ayant lieu entre les pays tiers. En conséquence, les seconds transferts de données n'entrent plus dans le champ d'application du règlement. Il devient simple pour les entreprises d'échapper au règlement, en établissant par exemple des sièges fictifs dans des pays tiers afin de procéder librement à leurs opérations de transferts de données. Des États membres ont cependant manifesté leurs inquiétudes à l'égard de l'absence d'une telle disposition (lien : CUE 8 juin). L'Allemagne a notamment des doutes concernant l'effectivité de la règle d'adéquation, en raison des exceptions multiples qui existent, par exemple, la notion d'intérêt public ; mais aussi en raison du flux important de données personnelles avec l'essor de l'informatique en nuage. Une question demeure concernant la loi qui s'applique aux responsables établis dans un pays tiers qui transfèrent des données. Egalement, les Etats membres se demandent si le transfert de données dans le contexte de l'informatique en nuage correspond à un transfert international de données, et si le Règlement s'applique.

Article 41 – Transferts assortis d’une décision relative au caractère adéquat du niveau de protection[modifier]

La Commission peut décider qu'un transfert aura lieu dans un pays tiers ou dans une organisation internationale s'ils offrent une protection équivalente aux pays de l'Union. Le transfert n'est, dans ce cas, pas soumis à une autorisation supplémentaire (1). La Commission doit prendre en compte certains éléments lors de l'évaluation du niveau adéquat de protection (2) :

  • Le respect de la loi, notamment des droits de l'Homme et des libertés fondamentales, ainsi que les lois sur les données personnelles (a).

Évolution apportée par le Conseil : suppression de la mention de sécurité publique et ajout des règles spécifiques sur le transfert des données personnelles à des pays tiers ou à des organisations internationales, ainsi que l'existence de droits des personnes concernées.

  • Un pouvoir de sanction suffisant (b) ;

Évolution apportée par le Conseil et la tentative d'accord : un pouvoir de sanction adéquat.

  • Toute convention légalement formée ou tout instrument respectant la protection des données personnelles doit être pris en compte (c) ;

Évolution apportée par le Conseil et la tentative d'accord: toute obligation naissant de la participation du tiers dans un système régional ou multilatéral, en particulier en relation avec la protection des données personnelles est aussi un élément qui doit être pris en compte.

Article 42 – Transfert moyennant des garanties appropriées[modifier]

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue

1. Where the Commission has taken no decision pursuant to Article 41, or decides that a third country, or a territory or processing sector within that third country, or an international organisation does not ensure an adequate level of protection in accordance with Article 41(5), a controller or processor may not transfer personal data to a third country, territory or an international organisation unless the controller or processor has adduced appropriate safeguards with respect to the protection of personal data in a legally binding instrument.

1. In the absence of a decision pursuant to paragraph 3 of Article 41, a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has adduced appropriate safeguards also covering onward transfers.

1. In the absence of a decision pursuant to paragraph 3 of Article 41, a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has adduced

En l'absence d'une décision de la Commission, un responsable peut opérer un transfert de données personnelles dans un pays tiers ou une organisation internationale en prenant des garanties suffisantes pour couvrir le transfert. Il s'agit notamment des accords entre les Etats membres de l'Union et les pays tiers, tels que le Safe Harbor.

Le Safe Harbor doit ainsi élaborer des règles plus protectrices que celles existant aux Etats-Unis. Par exemple, le transfert de données n'est possible que si l'individu a la liberté de s'y opposer . Le Safe Harbor prévoit également un système d'auto-certification des entreprises, et une possibilité de notification à un autorité ayant un pouvoir de sanction en cas de non de respect de ces règles. Or, ce système reste cependant peu contraignant et peu protecteur des données personnelles. Il est difficile pour un utilisateur résidant dans l'UE de saisir une autorité judiciaire ou administrative américaine. Les citoyens de l'UE n'ont en effet pas les mêmes recours que les résidents américains.

Un "Umbrella agreement" est actuellement en négociation entre l'UE et les pays tiers. Cet accord vise à assurer un droit de recours effectif à l'utilisateur, également à encadrer plus strictement les finalités et les modalités du transfert, ainsi que la durée de rétention de données.

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue

2. The appropriate safeguards referred to in paragraph 1 shall be provided for, in particular, by:

(a) binding corporate rules in accordance with Article 43; or (aa) a valid “European Data Protection Seal” for the controller and the recipient in accordance with paragraph 1e of Article 39; or deleted (c) standard data protection clauses adopted by a supervisory authority in accordance with the consistency mechanism referred to in Article 57 when declared generally valid by the Commission pursuant to point (b) of Article 62(1); or (d) contractual clauses between the controller or processor and the recipient of the data authorised by a supervisory authority in accordance with paragraph 4.

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by: (oa) a legally binding and enforceable instrument between public authorities or bodies; or (a) binding corporate rules referred to in Article 43; or

(b) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 87(2); or (c) standard data protection clauses adopted by a supervisory authority and adopted by the Commission pursuant to point (b) of Article 62(1)the examination procedure referred to in Article 87(2); or (d) an approved code of conduct pursuant to Article 38 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights; or (e) an approved certification mechanism pursuant to Article 39 together with binding and enforceable commitments of the controller or processor (...) in the third country to apply the appropriate safeguards, including as regards data subjects’ rights.

Reprend les propositions du Conseil, à l'exception de (d) et (e) encore en suspend.

Les garanties appropriées peuvent, d'une part, être apportées sans l'autorisation spécifique d'une autorité de surveillance, par :

  • des règles d'entreprise contraignantes (a) ;
  • des clauses de protection adoptées par la Commission (b) ou par une autorité de surveillance (c) ;

Éléments nouveaux apportés par le Conseil :

  • un instrument juridiquement contraignant et à titre exécutoire entre les autorités publiques ou les organismes publics (aa) ;
  • des engagements présents dans un code de conduite approuvé pris par le responsable du pays tiers (d). De tels engagements ont une portée normative contestable. Le Parlement et la Commission mentionnaient, quant à eux, des clauses contractuelles entre le responsable et le récepteur des données. Cette dernière conception, plus normative, est plus protectrice pour les données.
  • un mécanisme de certification des engagements du responsable (e). Ce mécanisme d'auto-certification n'est ni surveillé, ni réellement coercitif.

Cependant, restent l'objet d'une autorisation par une autorité de surveillance, les garanties appropriées délivrées par une clause contractuelle entre le responsable de traitement et son sous-traitant, ou avec le récepteur des données dans le pays tiers.

Article 43 – Transferts ou divulgations non autorisés par la législation de l'Union[modifier]

Article 43a – Les transferts ou les divulgations non-autorisées par le droit de l'Union[modifier]

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue

Article 44 – Dérogations[modifier]

La version du Conseil met en place les mêmes conditions que celles de la Commission et du Parlement européen :

  • le consentement est néanmoins précisé "explicite" (version du Conseil) (a) ;
  • le transferts doit-être nécessaire dans le cadre d'un contrat (b et c), ou pour des raisons d'intérêt public (d), ou de revendications juridiques (e), ou de la protection d'intérêts vitaux de l'internaute (f), ou d'un registre ouvert à la consultation du public (g).

De plus, le transfert qui n'est pas à grande échelle ou fréquent doit-être nécessaire pour des buts d'intérêts légitimes poursuivis par le responsable dans le respect des droits de l'utilisateur (h). La question du consentement, pourtant essentielle, n'est pas abordée directement mais est englobée dans les droits des utilisateurs. La proposition de compromis suggère de supprimer cette disposition, ce qui n'est pas l'opinion partagée par la Présidence.

Un problème se pose avec l'"intérêt public" (d). Cette notion abstraite laisse le champ libre aux interprétations divergentes des Etats membres, leur permettant ainsi de justifier largement un traitement de données.

Article 45 – Coopération internationale pour la protection des données perso[modifier]

Le Conseil reprend de manière similaire les versions de la Commission et du Parlement. Il affirme ainsi que dans le cadre des relations avec les pays tiers et les organisations internationales, la Commission et les autorités de surveillance devraient prendre des mesures appropriées pour:

  • développer les mécanismes de coopération internationale pour faciliter l'exercice effectif de la législation pour la protection des données personnelles (a) ;
  • fournir une assistance internationale mutuelle pour l'exercice de la loi pour la protection des données personnelles, notamment à travers les décisions de renvoi, l'assistance dans l'investigation et l'échange d'information, sujet des garanties appropriées pour la protection des données personnelles et d'autres droits fondamentaux et des libertés (b) ;
  • engager des entreprises dans la discussion et des activités qui ont pour but de promouvoir la coopération internationale dans l'exercice de la loi pour la protection des données (c) ;
  • promouvoir les échanges et la documentation des données personnelles dans la protection de la loi et la pratique (d) ;