" La Commission propose une réforme globale des règles en matière de protection des données pour accroître la maîtrise que les utilisateurs ont sur leurs données, et réduire les coûts grevant les entreprises." Telle est l'introduction du communiqué de presse de la Commission de l'UE:
La nouvelle réglementation européenne viendrait en remplacement de la Directive de 1995 qui n'est plus à jour des nouvelles technologies.
Cette réglementation nouvelle qu'il faut encore penser et adopter s'imposera à l'ensemble des intervenants internet pour gérer les données numériques personnelles, et notamment pour créer un droit à l'oubli opposable au niveau européen.
Propositions de la Commission:
* un corpus unique de règles relatives à la protection des données sera valable dans toute l'Union. Les obligations administratives inutiles, comme celles en matière de notification qui incombent aux entreprises, seront supprimées, ce qui représentera pour ces dernières une économie annuelle de quelque 2,3 milliards d'EUR;
* en lieu et place de l'obligation actuelle imposée à toutes les entreprises de notifier l'ensemble des activités concernant la protection de données à des autorités de contrôle compétentes en la matière - cette obligation étant à l'origine de formalités administratives inutiles coûtant 130 millions d'EUR par an aux entreprises, le règlement impose davantage d'obligations aux entités procédant au traitement de données à caractère personnel et accroît leur responsabilité;
* Ainsi, les entreprises et organisations devront, dans les meilleurs délais (si possible, dans un délai de 24 heures), notifier à l'autorité de contrôle nationale les violations graves de données à caractère personnel;
* les organisations n'auront plus comme interlocuteur qu'une seule autorité nationale chargée de la protection des données dans le pays de l'Union où elles ont leur établissement principal. De même, les citoyens pourront s'adresser à l'autorité chargée de la protection des données dans leur pays, même lorsque leurs données sont traitées par une entreprise établie en dehors du territoire de l'UE. Chaque fois que le consentement de la personne concernée est exigé pour que ses données puissent être traitées, il est précisé que ce consentement ne sera pas présumé mais devra être donné explicitement.
* l'accès des personnes concernées à leurs propres données sera facilité, de même que le transfert de données à caractère personnel d'un prestataire de services à un autre (droit à la portabilité des données). La concurrence entre prestataires de services s'en trouvera renforcée.
* un «droit à l'oubli numérique» aidera les citoyens à mieux gérer les risques liés à la protection des données en ligne: ils pourront obtenir la suppression de données les concernant si aucun motif légitime ne justifie leur conservation.
* les règles de l'Union devront s'appliquer si des données à caractère personnel font l'objet d'un traitement à l'étranger par des entreprises implantées sur le marché européen et proposant leurs services aux citoyens de l'Union.
* les autorités nationales indépendantes chargées de la protection des données seront renforcées afin qu'elles puissent mieux faire appliquer et respecter les règles de l'UE sur le territoire de l'État dont elles relèvent. Elles seront habilitées à infliger des amendes aux entreprises qui enfreignent les règles de l'Union relatives à la protection des données. Ces amendes pourront atteindre 1 million d'EUR ou 2 % du chiffre d'affaires annuel global de l'entreprise.
* Une nouvelle directive appliquera les règles et principes généraux relatifs à la protection des données à la coopération policière et judiciaire en matière pénale. Les règles s'appliqueront aux traitements aussi bien transfrontières que nationaux de données à caractère personnel.
Le projet est ambitieux. Notamment en ce que les réglementations européennes sont d'application directe sans transposition dans l'ordre interne. Ce qui participe du phénomène de supranationalité du droit européen.
Néanmoins, reste à savoir quelle méthode rédactionnelle et législative prévaudra dans cette nouvelle réglementation. Sera-ce l'imprécision chronique des termes anglo-saxons? ou le cartésianisme supplétif de la loi française? Le débat sera important, et selon les négociateurs, les retombées économiques et juridiques seront très différentes.
Car n'en doutons pas, cette réglementation à portée européenne et internationale aura une partie répressive majeure. Notamment sur les sanctions financières. Et les méthodes d'interprétation et d'application du droit sont tellement variables d'un pays à l'autre au sein de l'Union EUropéenne que les enjeux économiques pourront être également très importants pour les entreprises.
On peut déjà regretter que les propositions d'amende soient notablement faibles (seulement 2% du CA des entreprises concernées). La profession s'attendait à 5%.
On peut également déjà s'interroger sur les différences d'interprétation et d'application d'une autorité nationale à une autre.
Ce qui amènera très probablement des distortions de compétitivité au niveau européen, pouvant pousser certaines entreprises à se délocaliser vers le pays de l'UE ayant la compréhension la plus favorable du débat.
C'est là qu'on touche du doigt la faiblesse actuelle de l'Europe : ne pas être dotée d'une autorité unique de contrôle et de sanction.
Serait-ce le futur chantier de la "Nouvelle Europe"?
Ariel DAHAN
Avocat
Pas de contribution, soyez le premier