Synthèse du règlement sur la protection des données : Différence entre versions

De La Quadrature du Net
Aller à la navigationAller à la recherche
(Les accords internationaux)
Ligne 78 : Ligne 78 :
 
Il existe trois types d'accords internationaux portant sur le traitement des données personnelles :  
 
Il existe trois types d'accords internationaux portant sur le traitement des données personnelles :  
  
* L'«Umbrella agreement» : accord entre l'Union européenne et les États-Unis n'étant pas prévu par le Règlement dont la négociation a commencé en 2010 mais n'a pas encore aboutie. Le but de cet accord est d'assurer un haut niveau de protection des données personnelles, ainsi que d'améliorer la coopération entre l'Union européenne et les États-Unis dans le cadre de la prévention, l'investigation et la détection de la criminalité <ref>[http://ec.europa.eu/justice/data-protection/files/factsheets/umbrella_factsheet_en.pdf]</ref>. Le droit de recours du citoyen résidant dans l'Union européenne serait amélioré en cas de recours, aux États-Unis.  
+
- '''L'«Umbrella agreement» :''' accord entre l'Union européenne et les États-Unis n'étant pas prévu par le Règlement dont la négociation a commencé en 2010 mais n'a pas encore aboutie. Le but de cet accord est d'assurer un haut niveau de protection des données personnelles, ainsi que d'améliorer la coopération entre l'Union européenne et les États-Unis dans le cadre de la prévention, l'investigation et la détection de la criminalité <ref>[http://ec.europa.eu/justice/data-protection/files/factsheets/umbrella_factsheet_en.pdf]</ref>. Le droit de recours du citoyen résidant dans l'Union européenne serait amélioré en cas de recours, aux États-Unis.  
  
* Les accords avec les pays dont le niveau de protection est équivalent : ces accords concernent a priori les pays européens situés en dehors de l'Union européenne (exemples : Irlande, Norvège etc.). Les critères d'équivalence sont cependant très faibles et laissés à l'appréciation de la Commission européenne.  
+
- '''Les accords avec les pays dont le niveau de protection est équivalent :''' ces accords concernent a priori les pays européens situés en dehors de l'Union européenne (exemples : Irlande, Norvège etc.).  
 +
Le transfert n'est, dans ce cas, pas soumis à une autorisation supplémentaire. La Commission doit prendre en compte certains éléments lors de l'évaluation du niveau adéquat de protection :
 +
* Le respect de la loi, notamment des droits de l'Homme et des libertés fondamentales, ainsi que les lois sur les données personnelles (a).
 +
'''Évolution apportée par le Conseil''' : suppression de la mention de sécurité publique et ajout des règles spécifiques sur le transfert des données personnelles à des pays tiers ou à des organisations internationales, ainsi que l'existence de droits des personnes concernées.
 +
* Un pouvoir de sanction suffisant (b) ;
 +
'''Évolution apportée par le Conseil et la tentative d'accord''' : un pouvoir de sanction adéquat.
 +
* Toute convention légalement formée ou tout instrument respectant la protection des données personnelles doit être pris en compte (c) ;
 +
'''Évolution apportée par le Conseil et la tentative d'accord''': toute obligation naissant de la participation du tiers dans un système régional ou multilatéral, en particulier en relation avec la protection des données personnelles est aussi un élément qui doit être pris en compte.  
  
* Les accords avec les autres pays, notamment le «Safe Harbor« avec les États-Unis : Le «Safe Harbor» ou havre de sécurité permet aux entreprises américaines opérant en Europe,  de transférer les données des citoyens européens vers les États-Unis, et de les exploiter commercialement. En contrepartie, l'entreprise est tenue de respecter les lois européennes, plus protectrices que les lois  américaines dans le domaine de la protection des données. 4500 entreprises environ sont concernées par cet accord, dont la moitié sont des entreprises européennes <ref>[https://safeharbor.export.gov/list.aspx]</ref>. L'accord  du «Safe Harbor« avait été mis en place en 2000. Il a cependant vocation à être renégocié étant donné que le règlement a pour mission de créer des  garanties de protection plus grandes que la directive de 1995 pour les citoyens européens. L'un des points bloquants :l'Union européenne demande que les entreprises qui obtiennent la certification indiquent dans leurs politiques de confidentialité, les informations concernant la loi américaine, qui permet aux autorités publiques de recueillir et traiter les données transférées dans le cadre du «Safe Harbor». Cf : la surveillance effectuée par la NSA. Le Parlement n'est pas favorable à cet accord. Il avait voté, en parallèle du Règlement, une résolution demandant  la suspension de cet accord. Les Etats membres, quant à eux, sont divisés. La France est réticente, au contraire de l'Allemagne qui est en faveur de ce type d'accords.
+
- '''Les accords avec les autres pays, notamment le «Safe Harbor»''' avec les États-Unis : Le «Safe Harbor» ou havre de sécurité permet aux entreprises américaines opérant en Europe,  de transférer les données des citoyens européens vers les États-Unis, et de les exploiter commercialement. En contrepartie, l'entreprise est tenue de respecter les lois européennes, plus protectrices que les lois  américaines dans le domaine de la protection des données. 4500 entreprises environ sont concernées par cet accord, dont la moitié sont des entreprises européennes <ref>[https://safeharbor.export.gov/list.aspx]</ref>. L'accord  du «Safe Harbor« avait été mis en place en 2000. Il a cependant vocation à être renégocié étant donné que le règlement a pour mission de créer des  garanties de protection plus grandes que la directive de 1995 pour les citoyens européens. L'un des points bloquants :l'Union européenne demande que les entreprises qui obtiennent la certification indiquent dans leurs politiques de confidentialité, les informations concernant la loi américaine, qui permet aux autorités publiques de recueillir et traiter les données transférées dans le cadre du «Safe Harbor». Cf : la surveillance effectuée par la NSA. Le Parlement n'est pas favorable à cet accord. Il avait voté, en parallèle du Règlement, une résolution demandant  la suspension de cet accord. Les Etats membres, quant à eux, sont divisés. La France est réticente, au contraire de l'Allemagne qui est en faveur de ce type d'accords.
  
 
== Une sanction pécuniaire lourde == <!--T:17-->  
 
== Une sanction pécuniaire lourde == <!--T:17-->  

Version du 24 août 2015 à 15:26


Ambox warning red construction.png
⚠ Travail en cours

Cette page présente un contenu en cours de réalisation.

Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.


Autres langues :
English • ‎français

La proposition de règlement de l'Union européenne portant sur la protection des données personnelles a été publiée par la Commission européenne le 25 janvier 2012, sur proposition de Viviane Reding, Commissaire des droits fondamentaux. Il est accompagné d'une directive [1] ayant pour mission de prévenir, détecter ou de poursuivre les infractions pénales et d'appliquer les peines correspondantes.

Le Parlement européen a modifié ce règlement et l'a adopté en 1ère lecture, le 12 mars 2014 [2] [3]. Le Conseil de l'Union européenne (qui réunit les ministres des Etats membres) a proposé un texte amendé et les négociations devraient se poursuivre en procédure de conciliation, plus communément appelée trilogue car cette procédure réunit des délégations de la Commission européenne, du Parlement européen et du Conseil de l'UE.

Ce "paquet législatif" a pour objectif de mettre à jour les règlementations européennes sur la protection des données personnelles, pour les adapter aux transformations de la société, dues aux nouvelles technologies. La directive 95/46/CE [4] pour la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données présentait en effet des lacunes fortes, notamment pour la protection des données sur Internet. Le texte apporte des changements fondamentaux ayant des conséquences directes sur l'internaute.

Les trilogues ou négociations entre les institutions européennes ont débuté le 24 juin 2015. Plusieurs réunions en trilogue sont prévues les mois prochains afin de traiter les différents chapitres du Règlement.

Le trilogue du 14 juillet a porté sur les points suivants :

  • Article 3 – Champ territorial
  • Article 4 – Définitions, en particulier le paragraphe(14) sur les représentants
  • Article 25 – Les représentants des responsables de traitement non-établis dans l'UE
  • Chapitre V – Les transferts de données personnelles aux pays tiers et organisations internationales

En italique, les passages effacés du texte du Parlement Européen dans la version du Conseil

En gras, les passages ajoutés dans la version du Conseil de l'Union européenne

Le consentement de la personne concernée

La personne concernée doit donner son accord, avant que le responsable procède au traitement des données (article 6§1). C'est le cas, par exemple, lors d'une inscription sur un réseau social (Facebook , Twitter..), où l'internaute accepte que l'entreprise traite ses données. Le consentement de la personne concernée doit ainsi être «  libre, spécifique, informé et explicite » (article 4§8). L'internaute peut se rétracter aussi aisément qu'il a donné son consentement. Or, la condition du consentement n'est pas absolue. Il est possible de se passer du consentement de la personne concernée lorsqu'il existe, par exemple, un "intérêt légitime" pour le responsable de traitement. Cette dernière possibilité est une faille dangereuse, la notion d' «  intérêt légitime » étant bien trop large et non-définie par le Règlement.

Les droits des personnes concernées

La dernière version adoptée par le Parlement Européen, introduit un nouvel article sur la protection des données des utilisateurs (dites "personnes concernées") (article 10bis §2).

Cet article ouvre la possibilité de sanctionner le profilage. Le profilage est décrit comme un traitement automatisé de données permettant d'évaluer "certains aspects personnels propres à une personne physique ou à prévoir le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement"(article 4§3 bis). Le profilage constitue un outil très puissant pour les Etats ou les entreprises à qui les données sont transmises. Il peut s'agir, pour une entreprise privée, d'effectuer un profilage des individus, pour mieux connaître leurs habitudes de consommations et davantage cibler les actions de promotion. Le profilage représente également un intérêt pour les Etats, à des fins de sécurité publique. Il s'agit ainsi de surveiller une personne ou un groupe de personnes, à partir de leurs données, afin de connaître leurs habitudes de vie, lieux de séjour et déplacements, ainsi que leurs activités et relations internationales. Le profilage doit être interdit s'il est discriminatoire, basé par exemple sur l'origine ethnique ou sur l'opinion d'un utilisateur.

Le nouveau texte supprime le droit à la portabilité des données, autrement dit, la possibilité pour l'internaute de demander le transfert de ses données personnelles vers de nouveaux prestataires (même principe que la portabilité des numéros de téléphone). Cet article proposé par la Commission européenne et supprimé par le Parlement européen prévoyait entre autre une interopérabilité des systèmes et plateformes pour permettre la portabilité des données. L'interopérabilité correspond à la capacité d'un système informatique à fonctionner avec d'autres systèmes ou plateformes, sans restriction d'accès ou de mise en oeuvre. Elle est une condition nécessaire à la portabilité qui désigne la possiblité de porter ses données d'un système à un autre, ou de les partager entre plusieurs systèmes.

Un droit à l'information est en revanche reconnu à l'utilisateur. Les informations dont il est question, doivent porter sur la durée de conservation des données ainsi que sa finalité. La personne doit connaitre l'identité du responsable du traitement et être informée si ses données sont fournies à des tiers commerciaux.

Le règlement mentionne également le droit à l'effacement des données à caractère personnel sous certaines conditions (article 17). Un particulier peut demander à ce que ses données soient effacées lorsqu'elles ne correspondent plus aux finalités initiales, ou lorsqu'il n'y consent plus. La nouvelle version ajoute que le droit à l'effacement est possible après décision du tribunal ou d'une autorité réglementaire basée dans l'Union, mais aussi lorsque les données ont fait l'objet d'un traitement illicite. Ce droit ne doit cependant pas porter atteinte à l'exercice du droit à la liberté d'expression.

La notion de données pseudonymisées

Le rapport a introduit dans le texte la notion de «données pseudonymisées », concernant les fins de recherche qui font exception à l'accord de l'internaute. Les données pourraient être uniquement « pseudonymisées », au lieu d'être «  anonymisées » lorsque cela n'est pas possible, pour ces fins (article 81 2bis). Le terme « pseudonymisées » n'est pas employée de manière anodine. Les données « anonymisées » sont des données à partir desquelles il n'est pas possible d'isoler et d'identifier un individu. Son anonymat étant ainsi pleinement respecté. Les données « pseudonymisées » restent en revanche relatives à un individu identifiable, en raison du lien existant entre le pseudonyme et les données d'identification (nom, prénom, adresse...) disponible pour l'organisation collectant l'information. En outre, il est extrêmement aisé d'identifier un individu avec relativement peu de données pseudonymisées. Par conséquent, la pseudonymisation n'est pas une solution suffisamment protectrice pour les utilisateurs qui peuvent être identifiés trop facilement.

Les obligations du responsable du traitement garantissant la protection des données

Le responsable de traitement doit assurer la protection des données des personnes concernées par le traitement. Il a ainsi trois obligations principales :

  • Une obligation de documentation (article 28) des traitements réalisés. Ces documents pourront être vérifiés à tout moment par l'autorité nationale de contrôle, sous peine de sanctions.
  • Une obligation de réaliser une étude d'impact pour les traitements à risque (article 32 bis). Celle-ci doit-être réalisée systématiquement lorsque le traitement présente des risques particuliers pour les droits et libertés des personnes (ex : données sensibles, fichiers de grande ampleur concernant des enfants, données génétiques, biométriques).
  • Une obligation d'assurer la sécurité du traitement des données, en garantissant sa confidentialité, et l'intégrité de la personne concernée.

Les accords internationaux

Il existe trois types d'accords internationaux portant sur le traitement des données personnelles :

- L'«Umbrella agreement» : accord entre l'Union européenne et les États-Unis n'étant pas prévu par le Règlement dont la négociation a commencé en 2010 mais n'a pas encore aboutie. Le but de cet accord est d'assurer un haut niveau de protection des données personnelles, ainsi que d'améliorer la coopération entre l'Union européenne et les États-Unis dans le cadre de la prévention, l'investigation et la détection de la criminalité [5]. Le droit de recours du citoyen résidant dans l'Union européenne serait amélioré en cas de recours, aux États-Unis.

- Les accords avec les pays dont le niveau de protection est équivalent : ces accords concernent a priori les pays européens situés en dehors de l'Union européenne (exemples : Irlande, Norvège etc.). Le transfert n'est, dans ce cas, pas soumis à une autorisation supplémentaire. La Commission doit prendre en compte certains éléments lors de l'évaluation du niveau adéquat de protection :

  • Le respect de la loi, notamment des droits de l'Homme et des libertés fondamentales, ainsi que les lois sur les données personnelles (a).

Évolution apportée par le Conseil : suppression de la mention de sécurité publique et ajout des règles spécifiques sur le transfert des données personnelles à des pays tiers ou à des organisations internationales, ainsi que l'existence de droits des personnes concernées.

  • Un pouvoir de sanction suffisant (b) ;

Évolution apportée par le Conseil et la tentative d'accord : un pouvoir de sanction adéquat.

  • Toute convention légalement formée ou tout instrument respectant la protection des données personnelles doit être pris en compte (c) ;

Évolution apportée par le Conseil et la tentative d'accord: toute obligation naissant de la participation du tiers dans un système régional ou multilatéral, en particulier en relation avec la protection des données personnelles est aussi un élément qui doit être pris en compte.

- Les accords avec les autres pays, notamment le «Safe Harbor» avec les États-Unis : Le «Safe Harbor» ou havre de sécurité permet aux entreprises américaines opérant en Europe, de transférer les données des citoyens européens vers les États-Unis, et de les exploiter commercialement. En contrepartie, l'entreprise est tenue de respecter les lois européennes, plus protectrices que les lois américaines dans le domaine de la protection des données. 4500 entreprises environ sont concernées par cet accord, dont la moitié sont des entreprises européennes [6]. L'accord du «Safe Harbor« avait été mis en place en 2000. Il a cependant vocation à être renégocié étant donné que le règlement a pour mission de créer des garanties de protection plus grandes que la directive de 1995 pour les citoyens européens. L'un des points bloquants :l'Union européenne demande que les entreprises qui obtiennent la certification indiquent dans leurs politiques de confidentialité, les informations concernant la loi américaine, qui permet aux autorités publiques de recueillir et traiter les données transférées dans le cadre du «Safe Harbor». Cf : la surveillance effectuée par la NSA. Le Parlement n'est pas favorable à cet accord. Il avait voté, en parallèle du Règlement, une résolution demandant la suspension de cet accord. Les Etats membres, quant à eux, sont divisés. La France est réticente, au contraire de l'Allemagne qui est en faveur de ce type d'accords.

Une sanction pécuniaire lourde

Si les responsables de traitement, notamment les entreprises, ne respectent pas le texte, ils sont soumis à une sanction pécuniaire très conséquente, à hauteur de 5% du chiffre d'affaire mondial du responsable de traitement (article 79).

Références