Trilogue/ Trilogue Data protection : Différence entre versions
(→Article 25 – Représentants des responsables du traitement qui ne sont pas établis dans l'Union) |
|||
| Ligne 86 : | Ligne 86 : | ||
{| class="wikitable alternance centre" | {| class="wikitable alternance centre" | ||
|- | |- | ||
| − | ! scope="col" | Parlement européen | + | ! scope="col" | Commission européenne et Parlement européen |
! scope="col" | Conseil de l'Union européenne | ! scope="col" | Conseil de l'Union européenne | ||
! scope="col" | Tentative d'accord du trilogue | ! scope="col" | Tentative d'accord du trilogue | ||
|- | |- | ||
| − | | style="width:33%;" | | + | | style="width:33%;" |2. This obligation shall not apply to: |
| − | | style="width:33%;" | | + | (a) a controller established in a third country where the Commission has decided that the third country ensures an adequate level of protection in accordance with Article 41; or |
| − | | style="width:33%;" | | + | (b) an enterprise employing fewer than 250 persons; or |
| + | (c) a public authority or body; or | ||
| + | (d) a controller offering only occasionally goods or services to data subjects residing in the Union. | ||
| + | 3. The representative shall be established in one of those Member States where the data subjects whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, reside. | ||
| + | 4. The designation of a representative by the controller shall be without prejudice to legal actions which could be initiated against the controller itself. | ||
| + | | style="width:33%;" |2. This obligation shall not apply to: | ||
| + | (a) a controller established in a third country where the Commission has decided that the third country ensures an adequate level of protection in accordance with Article 41; or | ||
| + | | style="width:33%;" |2. This obligation shall not apply to: | ||
|} | |} | ||
| + | |||
| + | La nomination d'un représentant est obligatoire lorsque le traitement des données s'applique aux personnes résidants dans l'Union européenne, lorsque le responsable n'est pas établi dans l'Union européenne. Cette obligation disparait dans certains cas (§2). | ||
| + | Deux cas ont été supprimés par le Conseil : | ||
| + | * Cas 1 - Le contrôleur est établi dans un pays tiers dont le niveau de protection est suffisant : il n'est pas nécessaire pour le responsable du traitement de désigner un représentant (versions de la Commission européenne et du Parlement européen). Il ne parait pas anormal que tout responsable de traitement basé dans un pays tiers ait un représentant dans l'Union européen dès lors que le traitement concerne des données de personnes qui résident dans un pays de l'UE. | ||
| + | * Cas 2 - Le responsable propose des produits ou des services de manière occasionnelle aux personnes concernées résidant dans l'Union européenne. Cette exception tombe si le traitement concerne des catégories spécifiques plus sensibles. | ||
| + | L'un des cas fait l'objet de débats et aucune réponse satisfaisante n'a été apportée | ||
| + | * Cas 3 - Une exception peut être possible en fonction de la taille de l'entreprise (version de la Commission) ou du nombre de personnes touchées par le traitement (version du Parlement). | ||
| + | Le Conseil propose une indication plus précise sur le traitement en lui-même. Si ce dernier est occasionnel et peu à même de résulter en un risque pour les droits et libertés des individus, en prenant en compte la nature, le contexte, le champ et le but du traitement, le responsable du traitement échappe à la désignation d'un responsable. En se basant sur la finalité du traitement et non sur la structure de l'entreprise, cette disposition fait peser un risque quant à la marge d'appréciation des entreprises pour l'application de cette exception. | ||
| + | Une solution de compromis qui permettrait une réelle protection serait de coupler une taille maximale d'entreprise (250 employés) et un nombre maximum de personnes concernées par le traitement (5000 sur une période de 12 mois consécutifs), dès lors que les données traitées ne sont pas sensibles (voir art. 9 : idées et croyances, orientation sexuelle, genre, données biométriques, etc.). | ||
| + | |||
| + | Le représentant doit-être établi dans l'un des Etats membres, lieu de résidence de l'utilisateur dont les données sont traitées en lien avec l'offre de produits ou de services, et dont le comportement est surveillé (version du Conseil de l'Union européenne et de la Commission). La version du Parlement ne mentionnait pas le "lieu de résidence" mais prenait uniquement compte du lieu d'échange de produits et de services. | ||
| + | Le Conseil de l'Union européenne apporte un élément nouveau (3a), et détermine ainsi que le représentant soit mandaté par le responsable du traitement afin que les autorités de contrôle s'adressent à lui directement concernant les problèmes liés au traitement des données. | ||
== Chapitre V Transfert des données perso aux pays tiers ou aux organisations internationales == | == Chapitre V Transfert des données perso aux pays tiers ou aux organisations internationales == | ||
Version du 19 août 2015 à 17:45
Cette page présente un contenu en cours de réalisation.
Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.
Rappel des étapes de l'adoption du Règlement sur les données personnelles :
- Proposition d'un Règlement général sur la protection des données adopté par le Parlement, le 25 janvier 2012 pour remplacer la Directive 95/46/EC. Ce règlement est complété par une Directive sur le traitement des données 5833/12, adoptée par le Parlement également et en attente de lecture au Conseil.
- Le Parlement européen a adopté, en première lecture, le Règlement et la directive, le 12 mars 2014.
- Le Conseil de l'UE adopte son approche générale ("General Approach") du règlement, le 15 juin 2015.
Les trilogues ou négociations entre les institutions européennes ont débuté le 24 juin 2015. Plusieurs réunions en trilogue sont prévues les mois prochains afin de traiter les différents chapitres du Règlement.
Le trilogue du 14 juillet a porté sur les points suivants :
- Article 3 – Champ territorial
- Article 4 – Définitions, en particulier le paragraphe(14) sur les représentants
- Article 25 – Les représentants des responsables de traitement non-établis dans l'UE
- Chapitre V – Les transferts de données personnelles aux pays tiers et organisations internationales
Sommaire
- 1 Article 3 – Champ territorial
- 2 Article 4 – Définitions
- 3 Article 25 – Représentants des responsables du traitement qui ne sont pas établis dans l'Union
- 4 Chapitre V Transfert des données perso aux pays tiers ou aux organisations internationales
- 5 Article 40 – Principes généraux des transferts
- 6 Article 41 – Transferts assortis d’une décision relative au caractère adéquat du niveau de protection
- 7 Article 42 – Transfert moyennant des garanties appropriées
- 8 Article 43 – Transferts ou divulgations non autorisés par la législation de l'Union
- 9 Article 43a – Les transferts ou les divulgations non-autorisées par le droit de l'Union
- 10 Article 44 – Dérogations
- 11 Article 45 – Coopération internationale pour la protection des données perso
Article 3 – Champ territorial
| Parlement européen | Conseil de l'Union européenne | Tentative d'accord du trilogue |
|---|---|---|
| 1.This Regulation applies to the processing of personal data in the
context of the activities of an establishment of a controller or a processor in the Union, whether the processing takes place in the Union or not. |
1.This Regulation applies to the processing of personal data in the
context of the activities of an establishment of a controller or aprocessor in the Union. |
1.This Regulation applies to the processing of personal data in the
context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not. |
Le texte adopté par le Parlement européen étendait déjà le champ de son application territoriale par rapport à la proposition de la Commission. Le Règlement avait ainsi vocation à s'appliquer « que le traitement des données ait lieu ou pas dans l’Union » (article 3§1). Le Conseil de l'Union européenne efface cette mention. Cela crée un vide juridique concernant la délocalisation des traitements. Il s'agit ainsi des sous-traitants situés dans des pays extérieurs à l'Union, tandis que le siège du responsable est au sein de l'Union européenne. Dans la même idée, la mention de "sous-traitant" est retirée plus loin (article 3§2), dans les cas où les activités de traitement concernent les personnes résidant dans l'Union européenne. La tentative d'accord souhaite conserver la proposition plus protectrice du Parlement européen.
| Parlement européen | Conseil de l'Union européenne | Tentative d'accord du trilogue |
|---|---|---|
| 2. This Regulation applies to theprocessing of personal data of data subjects in the Union by a controller or processor not established in the Union, where the processing activities are related to:
(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of such data subjects |
2.This Regulation applies to thenprocessing of personal data of data
subjects residing in the Union by a controller not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment by the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the European Union. |
2. This Regulation applies to the processing of personal data of data
subjects present in the Union by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the European Union. |
Le Règlement, dans la version du Parlement, s'applique également au responsable du traitement des données ou à un sous-traitant, non-établis dans l'Union, lorsque ses activités de traitement concernent l'offre de biens ou de services, ou la surveillance des comportement des utilisateurs observés au sein de l'Union. La surveillance du comportement d'un utilisateur signifie que ce dernier est "suivi" sur internet au moyen de techniques de traitement des données qui consistent au profilage d'un individu pour prendre des décisions le concernant, ou pour analyser voire prédire son ou ses préférences personnelles, son comportement et ses attitudes (considérant 21).
Article 4 – Définitions
| Commission européenne | Parlement européen | Conseil de l'Union européenne |
|---|---|---|
| ‘representative’ means any natural or legal person established in the Union who,explicitly designated by the controller, acts and may be addressed by any supervisory authority and other bodies in the Union instead of the controller, with regard to the obligations of the controller under this Regulation; | ‘representative’ means any natural or legal person established in the Union who, explicitly designated by the controller represents the controller, with regard to the obligations of the controller under this Regulation; | ‘representative’ means any natural or legal person established in the Union who, designated by the controller in writing pursuant to Article 25, represents the controller, with regard to the obligations of the controller under this Regulation; |
Le représentant, tel que défini par le Parlement est une personne établie dans l'Union européenne, qui est expressément désignée par le responsable du traitement, afin de représenter ce dernier, eu égard aux obligations qui lui incombent. Il peut s'agir, par exemple, de l'avocat de l'entreprise de traitement. Les versions du Parlement et du Conseil effacent la mention présente dans le texte de la Commission indiquant que le représentant doit agir et peut-être sollicité par les autorités de surveillance et d'autres institutions de l'Union à la place du responsable. Le représentant n'est donc bien qu'un représentant (conseil juridique ou autre) et ne répond pas des actes du responsable du traitement à sa place. Le Conseil supprime également la mention de désignation "explicite" du Parlement pour renvoyer directement à l'article 25 qui encadre notamment les conditions de nomination des représentants. La proposition de compromis envoyée par le Parlement européen est une définition très proche de celle du Conseil.
Article 25 – Représentants des responsables du traitement qui ne sont pas établis dans l'Union
| Commission européenne et Parlement européen | Conseil de l'Union européenne | Tentative d'accord du trilogue |
|---|---|---|
| 2. This obligation shall not apply to:
(a) a controller established in a third country where the Commission has decided that the third country ensures an adequate level of protection in accordance with Article 41; or (b) an enterprise employing fewer than 250 persons; or (c) a public authority or body; or (d) a controller offering only occasionally goods or services to data subjects residing in the Union. 3. The representative shall be established in one of those Member States where the data subjects whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, reside. 4. The designation of a representative by the controller shall be without prejudice to legal actions which could be initiated against the controller itself. |
2. This obligation shall not apply to:
(a) a controller established in a third country where the Commission has decided that the third country ensures an adequate level of protection in accordance with Article 41; or |
2. This obligation shall not apply to: |
La nomination d'un représentant est obligatoire lorsque le traitement des données s'applique aux personnes résidants dans l'Union européenne, lorsque le responsable n'est pas établi dans l'Union européenne. Cette obligation disparait dans certains cas (§2). Deux cas ont été supprimés par le Conseil :
- Cas 1 - Le contrôleur est établi dans un pays tiers dont le niveau de protection est suffisant : il n'est pas nécessaire pour le responsable du traitement de désigner un représentant (versions de la Commission européenne et du Parlement européen). Il ne parait pas anormal que tout responsable de traitement basé dans un pays tiers ait un représentant dans l'Union européen dès lors que le traitement concerne des données de personnes qui résident dans un pays de l'UE.
- Cas 2 - Le responsable propose des produits ou des services de manière occasionnelle aux personnes concernées résidant dans l'Union européenne. Cette exception tombe si le traitement concerne des catégories spécifiques plus sensibles.
L'un des cas fait l'objet de débats et aucune réponse satisfaisante n'a été apportée
- Cas 3 - Une exception peut être possible en fonction de la taille de l'entreprise (version de la Commission) ou du nombre de personnes touchées par le traitement (version du Parlement).
Le Conseil propose une indication plus précise sur le traitement en lui-même. Si ce dernier est occasionnel et peu à même de résulter en un risque pour les droits et libertés des individus, en prenant en compte la nature, le contexte, le champ et le but du traitement, le responsable du traitement échappe à la désignation d'un responsable. En se basant sur la finalité du traitement et non sur la structure de l'entreprise, cette disposition fait peser un risque quant à la marge d'appréciation des entreprises pour l'application de cette exception. Une solution de compromis qui permettrait une réelle protection serait de coupler une taille maximale d'entreprise (250 employés) et un nombre maximum de personnes concernées par le traitement (5000 sur une période de 12 mois consécutifs), dès lors que les données traitées ne sont pas sensibles (voir art. 9 : idées et croyances, orientation sexuelle, genre, données biométriques, etc.).
Le représentant doit-être établi dans l'un des Etats membres, lieu de résidence de l'utilisateur dont les données sont traitées en lien avec l'offre de produits ou de services, et dont le comportement est surveillé (version du Conseil de l'Union européenne et de la Commission). La version du Parlement ne mentionnait pas le "lieu de résidence" mais prenait uniquement compte du lieu d'échange de produits et de services. Le Conseil de l'Union européenne apporte un élément nouveau (3a), et détermine ainsi que le représentant soit mandaté par le responsable du traitement afin que les autorités de contrôle s'adressent à lui directement concernant les problèmes liés au traitement des données.
Chapitre V Transfert des données perso aux pays tiers ou aux organisations internationales
Article 40 – Principes généraux des transferts
| Parlement européen | Conseil de l'Union européenne | Tentative d'accord du trilogue |
|---|---|---|
Article 41 – Transferts assortis d’une décision relative au caractère adéquat du niveau de protection
| Parlement européen | Conseil de l'Union européenne | Tentative d'accord du trilogue |
|---|---|---|
Article 42 – Transfert moyennant des garanties appropriées
| Parlement européen | Conseil de l'Union européenne | Tentative d'accord du trilogue |
|---|---|---|
Article 43 – Transferts ou divulgations non autorisés par la législation de l'Union
| Parlement européen | Conseil de l'Union européenne | Tentative d'accord du trilogue |
|---|---|---|
Article 43a – Les transferts ou les divulgations non-autorisées par le droit de l'Union
| Parlement européen | Conseil de l'Union européenne | Tentative d'accord du trilogue |
|---|---|---|
Article 44 – Dérogations
| Parlement européen | Conseil de l'Union européenne | Tentative d'accord du trilogue |
|---|---|---|
Article 45 – Coopération internationale pour la protection des données perso
| Parlement européen | Conseil de l'Union européenne | Tentative d'accord du trilogue |
|---|---|---|
| Parlement européen | Conseil de l'Union européenne | Tentative d'accord du trilogue |
|---|---|---|
| Parlement européen | Conseil de l'Union européenne | Tentative d'accord du trilogue |
|---|---|---|
