i [Avis d’Experts] Nouveautés en droit des données personnelles | MediaTic Info
data privacy

[Avis d’Experts] Nouveautés en droit des données personnelles

  • 1/  Nouvel accord « UE/US Privacy Shield »

Depuis 2000, l’accord « Safe Harbor » encadrait la façon dont les entreprises étaient autorisées à transférer vers les Etats-Unis les données des citoyens européens qui utilisent leurs services.

A la suite des révélations de l’affaire Edward Snowden, Mark Schrems, jeune Autrichien, avait déposé plainte contre Facebook en accusant la multinationale de conserver des données effacées par les utilisateurs, mais aussi de créer des « profils fantômes » qui rassemblent des informations sur des personnes n’ayant pas de compte Facebook. Cela a abouti à l’invalidation par la CJUE de l’accord Safe Harbor le 6 octobre 2015 car ce dernier n’offrait pas de garanties suffisantes pour la protection des données européennes stockées et exploitées aux Etats-Unis.

Après des mois de négociations intenses, la Commission Européenne a annoncé dans un communiqué du 2 février 2016 qu’elle était parvenue à un accord appelé « UE/US Privacy Shield » avec les Etats Unis définissant le régime destiné à remplacer le Safe Harbor pour encadrer les transferts de données. La Commission européenne a obtenu un engagement des Etats Unis d’abandonner la surveillance massive et indifférenciée des données et de définir les conditions et les limites de la surveillance par les autorités américaines.

L’accord prévoit en outre que les citoyens aussi bien Européens qu’Américains s’estimant bafoués auront la possibilité de recourir un mécanisme de résolution des différends. Est également prévue une clause de révision annuelle du dispositif par la FTC (Federal Trade Commission) et la Commission européenne.

Des sanctions pourront être prononcées à l’encontre des entreprises importatrices de données qui ne respecteraient pas les obligations posées par ce nouveau dispositif, notamment leur exclusion.

Il reste à savoir quelle sera la position du groupe de l’article 29 sur cet accord, notamment si celui-ci met en place des garanties suffisantes pour que les entreprises mettant en œuvre ce nouveau programme soient considérées par les autorités européennes de protection comme offrant un niveau de protection adéquat. La publication par la Commission européenne d’une « déclaration d’adéquation » permettant l’entrée en vigueur du Privacy Shield prendra sans doute plusieurs semaines.

http://europa.eu/rapid/press-release_IP-16-216_en.htm

  • 2/ Paquet Européen « protection des données personnelles »

Le Parlement européen, le Conseil européen et la Commission européenne se sont enfin entendus pour adapter, à l’ère de l’Internet grand public et des géants du Web, la directive qui régissait la protection des données personnelles depuis 1995. Ce projet a été adopté le 17 décembre 2015 par la Commission des libertés civiles, de la justice et des affaires intérieures du Parlement Européen.

La discussion portait sur deux textes :

  • D’une part, un règlement sur la protection des données (applicable automatiquement, il s’impose aux Etats)
  • D’autre part, une directive spécifique concernant les données utilisées par la police et les autorités judiciaires qui devra être transposée dans le droit national de chaque Etat membre.

Ce règlement a pour fonction de renforcer la capacité des citoyens à contrôler leur données personnelles présentent sur les services internet et les plates-formes.

Ainsi, les personnes concernées bénéficieront :

  • d’un droit à la portabilité, c’est à dire que leurs fichiers et autres informations les concernant et stockées dans un service pourront être exportés vers une autre plate-forme s’ils le veulent ;
  • du droit à l’oubli qui était jusqu’alors appliqué de manière partielle dans l’Union Européenne depuis 2014 en vertu d’une décision judiciaire ;
  • d’une meilleure transparence: Le citoyen pourra mieux comprendre ce qui est fait de ses données et exercer ses droits plus simplement et pourra notamment contester la publicité ciblée, permise par le recueil massif et le traitement de ses données ;
  • d’une protection des mineurs qui sera renforcée notamment sur les services en ligne (âge minimum, etc.) ;

Du côté des entreprises, de nouvelles contraintes mais également simplifications sont prévues :

  • l’obligation de nommer un responsable de la protection des données dans chaque multinationale;
  • en cas de litige, la mise en place un guichet unique : ce sera l’autorité de régulation du pays où l’entreprise à son siège qui sera compétente. (exemple : si l’entreprise a son siège social en France alors la CNIL est compétente)
  • renforcement des sanctions en cas de non respect de la volonté des utilisateurs. Ces sanctions pourront désormais atteindre 4% de leur chiffre d’affaire.

Ce règlement tant attendu a pourtant fait des déçus. En effet, plusieurs associations (Privacy International, European Digital Rights, des associations de défense des libertés en ligne aux Pays-Bas ou en Allemagne, etc.) jugent que « l’essentiel a été sauvé », mais voient dans les dispositifs d’harmonisation « une parodie de l’intention originale. Le texte final prévoit plus d’exceptions que la législation précédente n’avait d’articles ».

Reste que ces nouvelles règles s’appliqueront à toutes les entreprises qui comptent des utilisateurs dans l’Union européenne, y compris si elles sont basées ailleurs. A charge pour elles d’assurer aux données personnelles, si elles les transfèrent vers des infrastructures situées hors du territoire européen, un niveau de protection au moins équivalent à celui garanti par le règlement.

Le règlement devrait entrer en vigueur deux ans après sa promulgation, soit début 2018.

http://europa.eu/rapid/press-release_IP-15-6321_fr.htm

  • 3/  Publication de l’avis de la CNIL sur le Projet de Loi République Numérique

Dans sa Délibération n°2015-414 du 19 novembre 2015, la CNIL s’est prononcée sur l’avant projet de loi pour une République numérique, dans sa version alors envisagée par le Gouvernement.

Dans les grandes lignes, la CNIL rappelle que ce projet de loi doit nécessairement s’inscrire en cohérence avec le Paquet Européen « Protection des Données Personnelles » (cf. ci-dessus 2), notamment en ce que qui concerne la portabilité des données qui est déjà envisagée car ce texte. La CNIL salue bien évidemment le renforcement des droits des personnes concernées ainsi que le renforcement de ses pouvoirs même si elle regrette toutefois que le montant des sanctions reste inchangé.

S’agissant du développement de l’Open Data envisagé par l’avant projet de loi, elle rappelle que cette ouverture doit intervenir dans le respect de la vie privée. Plusieurs préconisations (anonymisation des données, certification de certifier de la loi de méthodologie d’anonymisation, etc.) sont rappelées par la Commission.

Enfin, la CNIL se montre favorable à la simplification des formalités préalables aux recherches publiques utilisant le NIR dès lors, d’une part, que le NIR fait l’objet d’un cryptage robuste et, d’autre part, qu’elle sera compétente pour autoriser les recherches publiques à des fins scientifiques conduites sur ce fondement.

https://www.cnil.fr/sites/default/files/typo/document/D2015-414-PJLNumerique.pdf

Charlotte BALDASSARI, Avocat, Membre de Medinsoft

Ce contenu a été publié dans Avis d'Experts, avec comme mot(s)-clé(s) , , . Vous pouvez le mettre en favoris avec ce permalien.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *