Synthèse du règlement sur la protection des données/en : Différence entre versions
(Page créée avec « == Data Subjects Rights==
») |
(Page créée avec « The version adopted by the European Parliament introduces a new article, Article 10(a)(2) on the “General principles for data subject rights”. ») |
||
| Ligne 18 : | Ligne 18 : | ||
== Data Subjects Rights==
| == Data Subjects Rights==
| ||
| − | + | The version adopted by the European Parliament introduces a new article, Article 10(a)(2) on the “General principles for data subject rights”. | |
Cet article ouvre la possibilité de sanctionner le profilage. | Cet article ouvre la possibilité de sanctionner le profilage. | ||
Version du 4 août 2015 à 18:52
On 25 January 2012, the European Commission published their [1] "on the protection of individuals with regard to the processing of personal data".
On the 12 March 2014, the European Parliament adopted an amended version of the [2], bundling it with a [3], together referred to as the Data Protection Reform Package (DPR).
Now the Council of the European Union (also known as the Council of Ministers, it brings together the ministries of member states) is considering the proposals. Negotiations between the European Council, Parliament and Commission – referred to as a “trialogue” - are expected to come to a conclusion at the end of 2015. The aim is to bring European legislation on the use of personal data up to date with technical, commercial and societal changes brought about by the digital age. The previous legislation, a directive - hence legislation that relies on being transposed into national law as opposed to a regulation that applies to all member states equally - dates from 1995, [4], fails on many counts but most notably on the protection of personal data.
The proposed texts introduce some fundamental changes that directly impact internet users:
Sommaire
Data Subject Consent
Article 6 states that a user's ('data subjects') consent is required for data processing. This consent can, for instance, be obtained during the initial registration with a social network service when the user agrees to the EULA and thus to the use of their data by the company. It states that “'the data subject's consent' means any freely given specific, informed and explicit indication of his or her wishes” (Article 4(8)). Moreover, it is specified that it “shall be as easy to withdraw consent as to give it.” (Article 7(3)).
The regulation, as proposed, contains a huge loophole in the form of the notion of “legitimate interest” (see Article 6(1)(f)). Left too vague and undefined in the regulation, it would allow companies to argue “legitimate interest” in order to by-pass the constraints inherent in the requirement for users' consent. It would allow the use of personal data in ways that the user did not consciously agree to.
== Data Subjects Rights==
The version adopted by the European Parliament introduces a new article, Article 10(a)(2) on the “General principles for data subject rights”.
Cet article ouvre la possibilité de sanctionner le profilage. Le profilage est décrit comme un traitement automatisé de données permettant d'évaluer "certains aspects personnels propres à une personne physique ou à prévoir le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement"(article 4§3 bis). Le profilage constitue un outil très puissant pour les Etats ou les entreprises à qui les données sont transmises. Il peut s'agir, pour une entreprise privée, d'effectuer un profilage des individus, pour mieux connaître leurs habitudes de consommations et davantage cibler les actions de promotion. Le profilage représente également un intérêt pour les Etats, à des fins de sécurité publique. Il s'agit ainsi de surveiller une personne ou un groupe de personnes, à partir de leurs données, afin de connaître leurs habitudes de vie, lieux de séjour et déplacements, ainsi que leurs activités et relations internationales. Le profilage doit être interdit s'il est discriminatoire, basé par exemple sur l'origine ethnique ou sur l'opinion d'un utilisateur.
Le nouveau texte supprime le droit à la portabilité des données, autrement dit, la possibilité pour l'internaute de demander le transfert de ses données personnelles vers de nouveaux prestataires (même principe que la portabilité des numéros de téléphone). Cet article proposé par la Commission européenne et supprimé par le Parlement européen prévoyait entre autre une interopérabilité des systèmes et plateformes pour permettre la portabilité des données. L'interopérabilité correspond à la capacité d'un système informatique à fonctionner avec d'autres systèmes ou plateformes, sans restriction d'accès ou de mise en oeuvre. Elle est une condition nécessaire à la portabilité qui désigne la possiblité de porter ses données d'un système à un autre, ou de les partager entre plusieurs systèmes.
Un droit à l'information est en revanche reconnu à l'utilisateur. Les informations dont il est question, doivent porter sur la durée de conservation des données ainsi que sa finalité. La personne doit connaitre l'identité du responsable du traitement et être informée si ses données sont fournies à des tiers commerciaux.
Le règlement mentionne également le droit à l'effacement des données à caractère personnel sous certaines conditions (article 17). Un particulier peut demander à ce que ses données soient effacées lorsqu'elles ne correspondent plus aux finalités initiales, ou lorsqu'il n'y consent plus. La nouvelle version ajoute que le droit à l'effacement est possible après décision du tribunal ou d'une autorité réglementaire basée dans l'Union, mais aussi lorsque les données ont fait l'objet d'un traitement illicite. Ce droit ne doit cependant pas porter atteinte à l'exercice du droit à la liberté d'expression.
La notion de données pseudonymisées
Le rapport a introduit dans le texte la notion de «données pseudonymisées », concernant les fins de recherche qui font exception à l'accord de l'internaute. Les données pourraient être uniquement « pseudonymisées », au lieu d'être « anonymisées » lorsque cela n'est pas possible, pour ces fins (article 81 2bis). Le terme « pseudonymisées » n'est pas employée de manière anodine. Les données « anonymisées » sont des données à partir desquelles il n'est pas possible d'isoler et d'identifier un individu. Son anonymat étant ainsi pleinement respecté. Les données « pseudonymisées » restent en revanche relatives à un individu identifiable, en raison du lien existant entre le pseudonyme et les données d'identification (nom, prénom, adresse...) disponible pour l'organisation collectant l'information. En outre, il est extrêmement aisé d'identifier un individu avec relativement peu de données pseudonymisées. Par conséquent, la pseudonymisation n'est pas une solution suffisamment protectrice pour les utilisateurs qui peuvent être identifiés trop facilement.
Les obligations du responsable du traitement garantissant la protection des données
Le responsable de traitement doit assurer la protection des données des personnes concernées par le traitement. Il a ainsi trois obligations principales :
- Une obligation de documentation (article 28) des traitements réalisés. Ces documents pourront être vérifiés à tout moment par l'autorité nationale de contrôle, sous peine de sanctions.
- Une obligation de réaliser une étude d'impact pour les traitements à risque (article 32 bis). Celle-ci doit-être réalisée systématiquement lorsque le traitement présente des risques particuliers pour les droits et libertés des personnes (ex : données sensibles, fichiers de grande ampleur concernant des enfants, données génétiques, biométriques).
- Une obligation d'assurer la sécurité du traitement des données, en garantissant sa confidentialité, et l'intégrité de la personne concernée.
Une sanction pécuniaire lourde
Si les responsables de traitement, notamment les entreprises, ne respectent pas le texte, ils sont soumis à une sanction pécuniaire très conséquente, à hauteur de 5% du chiffre d'affaire mondial du responsable de traitement (article 79).
