Trilogue/ Trilogue Data protection : Différence entre versions

De La Quadrature du Net
Aller à la navigationAller à la recherche
(Article 25 – Représentants des responsables du traitement qui ne sont pas établis dans l'Union)
(Chapitre V Transfert des données perso aux pays tiers ou aux organisations internationales)
Ligne 127 : Ligne 127 :
 
Le Conseil de l'Union européenne apporte un élément nouveau (3a), et détermine ainsi que le représentant soit mandaté par le responsable du traitement afin que les autorités de contrôle s'adressent à lui directement concernant les problèmes liés au traitement des données.
 
Le Conseil de l'Union européenne apporte un élément nouveau (3a), et détermine ainsi que le représentant soit mandaté par le responsable du traitement afin que les autorités de contrôle s'adressent à lui directement concernant les problèmes liés au traitement des données.
  
== Chapitre V Transfert des données perso aux pays tiers ou aux organisations internationales  ==  
+
== Chapitre V Transfert des données perso aux pays tiers ou aux organisations internationales  ==
 +
 
 +
Les transferts de données aux pays tiers et aux organisations internationales peuvent-être effectués de plusieurs manières. Ils peuvent être décidés par la Commission, sur la base de certains critères, ou, en l'absence de décision de sa part, être l'objet d'un accord spécifique avec ces tiers.
 +
Ces accords spécifiques existaient déjà en présence de la directive de 1995. Le  Parlement Européen avait voté, en parallèle du Règlement, une résolution demandant  la suspension de deux accords : Safe Harbor et SWIFT.  Le Safe Harbor ou  havre de sécurité permet aux entreprises américaines opérant en Europe,  de transférer les données des citoyens européens vers les Etats-Unis,  et de les exploiter commercialement. En contrepartie, l'entreprise est  tenue de respecter les lois européennes, plus protectrices que les lois  américaines dans le domaine de la protection des données.
 +
L'accord  du Safe Harbor avait été mis en place en 2000. Il a cependant vocation à  être renégocié étant donné que le règlement a pour mission de créer des  garanties de protection plus grandes que la directive de 1995 pour les citoyens européens.
 +
 
 
== Article 40 – Principes généraux des transferts ==
 
== Article 40 – Principes généraux des transferts ==
  

Version du 19 août 2015 à 17:02


Ambox warning red construction.png
⚠ Travail en cours

Cette page présente un contenu en cours de réalisation.

Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.


Rappel des étapes de l'adoption du Règlement sur les données personnelles :

  • Proposition d'un Règlement général sur la protection des données adopté par le Parlement, le 25 janvier 2012 pour remplacer la Directive 95/46/EC. Ce règlement est complété par une Directive sur le traitement des données 5833/12, adoptée par le Parlement également et en attente de lecture au Conseil.
  • Le Parlement européen a adopté, en première lecture, le Règlement et la directive, le 12 mars 2014.
  • Le Conseil de l'UE adopte son approche générale ("General Approach") du règlement, le 15 juin 2015.

Les trilogues ou négociations entre les institutions européennes ont débuté le 24 juin 2015. Plusieurs réunions en trilogue sont prévues les mois prochains afin de traiter les différents chapitres du Règlement.

Le trilogue du 14 juillet a porté sur les points suivants :

  • Article 3 – Champ territorial
  • Article 4 – Définitions, en particulier le paragraphe(14) sur les représentants
  • Article 25 – Les représentants des responsables de traitement non-établis dans l'UE
  • Chapitre V – Les transferts de données personnelles aux pays tiers et organisations internationales


Article 3 – Champ territorial

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue
1.This Regulation applies to the processing of personal data in the

context of the activities of an establishment of a controller or a processor in the Union, whether the processing takes place in the Union or not.

1.This Regulation applies to the processing of personal data in the

context of the activities of an establishment of a controller or aprocessor in the Union.

1.This Regulation applies to the processing of personal data in the

context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

Le texte adopté par le Parlement européen étendait déjà le champ de son application territoriale par rapport à la proposition de la Commission. Le Règlement avait ainsi vocation à s'appliquer « que le traitement des données ait lieu ou pas dans l’Union » (article 3§1). Le Conseil de l'Union européenne efface cette mention. Cela crée un vide juridique concernant la délocalisation des traitements. Il s'agit ainsi des sous-traitants situés dans des pays extérieurs à l'Union, tandis que le siège du responsable est au sein de l'Union européenne. Dans la même idée, la mention de "sous-traitant" est retirée plus loin (article 3§2), dans les cas où les activités de traitement concernent les personnes résidant dans l'Union européenne. La tentative d'accord souhaite conserver la proposition plus protectrice du Parlement européen.

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue
2. This Regulation applies to theprocessing of personal data of data subjects in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of such data subjects

2.This Regulation applies to thenprocessing of personal data of data

subjects residing in the Union by a controller not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment by the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the European Union.

2. This Regulation applies to the processing of personal data of data

subjects present in the Union by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the European Union.

Le Règlement, dans la version du Parlement, s'applique également au responsable du traitement des données ou à un sous-traitant, non-établis dans l'Union, lorsque ses activités de traitement concernent l'offre de biens ou de services, ou la surveillance des comportement des utilisateurs observés au sein de l'Union. La surveillance du comportement d'un utilisateur signifie que ce dernier est "suivi" sur internet au moyen de techniques de traitement des données qui consistent au profilage d'un individu pour prendre des décisions le concernant, ou pour analyser voire prédire son ou ses préférences personnelles, son comportement et ses attitudes (considérant 21).

Article 4 – Définitions

Commission européenne Parlement européen Conseil de l'Union européenne
‘representative’ means any natural or legal person established in the Union who,explicitly designated by the controller, acts and may be addressed by any supervisory authority and other bodies in the Union instead of the controller, with regard to the obligations of the controller under this Regulation; ‘representative’ means any natural or legal person established in the Union who, explicitly designated by the controller represents the controller, with regard to the obligations of the controller under this Regulation; ‘representative’ means any natural or legal person established in the Union who, designated by the controller in writing pursuant to Article 25, represents the controller, with regard to the obligations of the controller under this Regulation;

Le représentant, tel que défini par le Parlement est une personne établie dans l'Union européenne, qui est expressément désignée par le responsable du traitement, afin de représenter ce dernier, eu égard aux obligations qui lui incombent. Il peut s'agir, par exemple, de l'avocat de l'entreprise de traitement. Les versions du Parlement et du Conseil effacent la mention présente dans le texte de la Commission indiquant que le représentant doit agir et peut-être sollicité par les autorités de surveillance et d'autres institutions de l'Union à la place du responsable. Le représentant n'est donc bien qu'un représentant (conseil juridique ou autre) et ne répond pas des actes du responsable du traitement à sa place. Le Conseil supprime également la mention de désignation "explicite" du Parlement pour renvoyer directement à l'article 25 qui encadre notamment les conditions de nomination des représentants. La proposition de compromis envoyée par le Parlement européen est une définition très proche de celle du Conseil.

Article 25 – Représentants des responsables du traitement qui ne sont pas établis dans l'Union

Commission européenne Parlement européen Conseil de l'Union européenne
2. This obligation shall not apply to:

(a) a controller established in a third country where the Commission has decided that the third country ensures an adequate level of protection in accordance with Article 41; or (b) an enterprise employing fewer than 250 persons; or (c) a public authority or body; or (d) a controller offering only occasionally goods or services to data subjects residing in the Union. 3. The representative shall be established in one of those Member States where the data subjects whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, reside. 4. The designation of a representative by the controller shall be without prejudice to legal actions which could be initiated against the controller itself.

2. This obligation shall not apply to:

(a) a controller established in a third country where the Commission has decided that the third country ensures an adequate level of protection in accordance with Article 41; or (b) a controller processing personal data which relates to less than 5000 data subjects during any consecutive 12-month period and not processing special categories of personal data as referred to in Article 9(1), location data or data on children or employees in large-scale filing systems; or (c) a public authority or body; or (d) a controller offering only occasionally offering goods or services to data subjects residing in the Union, unless the processing of personal data concerns special categories of personal data as referred to in Article 9(1), location data or data on children oremployees in large-scale filing systems. 3. The representative shall be established in one of those Member States where the offering of goods or services to the data subjects, or the monitoring of them, takes place. 4. The designation of a representative by the controller shall be without prejudice to legal actions which could be initiated against the controller itself.

2. This obligation shall not apply to:

deleted (b) processing which is occasional and unlikely to result in a risk for the rights and freedoms of individuals, taking into account the nature, context, scope and purposes of the processing; or (c) a public authority or body; or deleted 3. The representative shall be established in one of those Member States where the data subjects whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, reside. 3a. The representative shall be mandated by the controller to be addressed in addition to or instead of the controller by, in particular, supervisory authorities and data subjects, on all issues related to the processing of personal data,for the purposes of ensuring compliance with this Regulation. 4. The designation of a representative by the controller shall be without prejudice to legal actions which could be initiated against the controller itself.

La nomination d'un représentant est obligatoire lorsque le traitement des données s'applique aux personnes résidants dans l'Union européenne, lorsque le responsable n'est pas établi dans l'Union européenne. Cette obligation disparait dans certains cas (§2). Deux cas ont été supprimés par le Conseil :

  • Cas 1 - Le contrôleur est établi dans un pays tiers dont le niveau de protection est suffisant : il n'est pas nécessaire pour le responsable du traitement de désigner un représentant (versions de la Commission européenne et du Parlement européen). Il ne parait pas anormal que tout responsable de traitement basé dans un pays tiers ait un représentant dans l'Union européen dès lors que le traitement concerne des données de personnes qui résident dans un pays de l'UE.
  • Cas 2 - Le responsable propose des produits ou des services de manière occasionnelle aux personnes concernées résidant dans l'Union européenne. Cette exception tombe si le traitement concerne des catégories spécifiques plus sensibles.

L'un des cas fait l'objet de débats et aucune réponse satisfaisante n'a été apportée

  • Cas 3 - Une exception peut être possible en fonction de la taille de l'entreprise (version de la Commission) ou du nombre de personnes touchées par le traitement (version du Parlement).

Le Conseil propose une indication plus précise sur le traitement en lui-même. Si ce dernier est occasionnel et peu à même de résulter en un risque pour les droits et libertés des individus, en prenant en compte la nature, le contexte, le champ et le but du traitement, le responsable du traitement échappe à la désignation d'un responsable. En se basant sur la finalité du traitement et non sur la structure de l'entreprise, cette disposition fait peser un risque quant à la marge d'appréciation des entreprises pour l'application de cette exception. Une solution de compromis qui permettrait une réelle protection serait de coupler une taille maximale d'entreprise (250 employés) et un nombre maximum de personnes concernées par le traitement (5000 sur une période de 12 mois consécutifs), dès lors que les données traitées ne sont pas sensibles (voir art. 9 : idées et croyances, orientation sexuelle, genre, données biométriques, etc.).

Le représentant doit-être établi dans l'un des Etats membres, lieu de résidence de l'utilisateur dont les données sont traitées en lien avec l'offre de produits ou de services, et dont le comportement est surveillé (version du Conseil de l'Union européenne et de la Commission). La version du Parlement ne mentionnait pas le "lieu de résidence" mais prenait uniquement compte du lieu d'échange de produits et de services. Le Conseil de l'Union européenne apporte un élément nouveau (3a), et détermine ainsi que le représentant soit mandaté par le responsable du traitement afin que les autorités de contrôle s'adressent à lui directement concernant les problèmes liés au traitement des données.

Chapitre V Transfert des données perso aux pays tiers ou aux organisations internationales

Les transferts de données aux pays tiers et aux organisations internationales peuvent-être effectués de plusieurs manières. Ils peuvent être décidés par la Commission, sur la base de certains critères, ou, en l'absence de décision de sa part, être l'objet d'un accord spécifique avec ces tiers. Ces accords spécifiques existaient déjà en présence de la directive de 1995. Le Parlement Européen avait voté, en parallèle du Règlement, une résolution demandant la suspension de deux accords : Safe Harbor et SWIFT. Le Safe Harbor ou havre de sécurité permet aux entreprises américaines opérant en Europe, de transférer les données des citoyens européens vers les Etats-Unis, et de les exploiter commercialement. En contrepartie, l'entreprise est tenue de respecter les lois européennes, plus protectrices que les lois américaines dans le domaine de la protection des données. L'accord du Safe Harbor avait été mis en place en 2000. Il a cependant vocation à être renégocié étant donné que le règlement a pour mission de créer des garanties de protection plus grandes que la directive de 1995 pour les citoyens européens.

Article 40 – Principes généraux des transferts

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue

Article 41 – Transferts assortis d’une décision relative au caractère adéquat du niveau de protection

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue

Article 42 – Transfert moyennant des garanties appropriées

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue

Article 43 – Transferts ou divulgations non autorisés par la législation de l'Union

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue

Article 43a – Les transferts ou les divulgations non-autorisées par le droit de l'Union

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue

Article 44 – Dérogations

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue

Article 45 – Coopération internationale pour la protection des données perso

Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue
Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue
Parlement européen Conseil de l'Union européenne Tentative d'accord du trilogue