Les députés de la commission des libertés civiles renforcent la protection des données dans l’UE
Une révision des règles sur la protection des données afin que les citoyens contrôlent leurs données personnelles et que les entreprises se déplacent plus facilement dans l’UE a été adoptée en commission des libertés civiles. En réaction aux cas de surveillance massive, les députés ont introduit des sauvegardes pour les transferts de données aux pays tiers, l’obligation d’avoir un consentement explicite, le droit à l’effacement et des amendes plus élevées pour les entreprises violant les règles.
“Le vote de ce soir est une avancée pour la protection des données en Europe. Les règles sont désormais actualisées pour relever les défis de l’ère numérique. Cette législation introduit des règles européennes globales sur la protection des données, qui remplacent l’ensemble existant de lois nationales”, a déclaré le rapporteur pour le nouveau règlement sur la protection des données, Jan Philipp Albrecht (Verts/ALE, DE), après le vote.
“Le Parlement dispose désormais d’un mandat clair pour débuter les négociations avec les gouvernements de l’UE. La balle est maintenant dans la cour des États membres, qui doivent définir une position commune et débuter les négociations. Nous pourrons ainsi répondre aux intérêts des citoyens et mettre à jour sans plus tarder les règles sur la protection des données. Les dirigeants de l’UE devraient envoyer un signal clair à ce sujet lors du sommet cette semaine”, a-t-il ajouté.
“Le protection des données personnelles des citoyens européens reste une question fondamentale pour nous. Les États membres et le Conseil doivent réagir rapidement. C’est désormais à leur tour de se manifester. Les chefs d’État et de gouvernement européens auront la possibilité de montrer leur détermination lors de la prochaine réunion du Conseil européen dans quelques jours. Nous attendons tous ce moment”, a affirmé le rapporteur pour la directive sur la protection des données personnelles à des fins répressives, Dimitrios Droutsas (S&D, EL).
Transferts de données aux pays tiers
Selon le texte adopté, si un pays tiers demande à une entreprise (par exemple un moteur de recherche, un réseau social ou un fournisseur de services d’informatique en nuage) de dévoiler les données personnelles traitées au sein de l’UE, cette entreprise devra recevoir l’autorisation du Contrôleur européen de la protection des données avant de transmettre toute information. Elle devrait également informer la personne concernée d’une telle demande, déclarent les députés. Cette proposition répond aux activités de surveillance massive dévoilées par les médias en juin 2013.
Sanctions
Les entreprises qui violent les règles seraient soumises à des amendes allant jusqu’à 100 millions d’euros ou 5% de leur chiffre d’affaires annuel mondial, en fonction du montant le plus élevé, affirment les députés. (La Commission européenne avait proposé des sanctions allant jusqu’à un million d’euros ou 2% du chiffre d’affaires annuel mondial).
Droit à l’effacement
Selon la commission des libertés civiles, les données personnelles d’un citoyen devraient être effacées s’il en fait la demande. Afin de renforcer ce droit, si une personne demande à un “contrôleur de données” (par exemple une entreprise d’Internet) d’effacer ses informations personnelles, l’entreprise devrait également envoyer la demande aux parties qui dupliquent les données. Ce “droit à l’effacement” couvrirait le “droit à l’oubli” proposé par la Commission européenne.
Consentement explicite
Lorsque le traitement des données se base sur le consentement, une organisation ou une entreprise pourrait traiter des informations personnelles uniquement après avoir obtenu l’autorisation explicite de la personne concernée, qui pourrait revenir sur ce consentement à tout moment. Le consentement d’une personne correspond à “toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque” le traitement de ses données personnelles.
Les députés de la commission des libertés civiles précisent que “l’exécution d’un contrat ou la fourniture d’un service ne peut être subordonnée à l’approbation du traitement des données à caractère personnel qui n’est pas strictement nécessaire pour l’achèvement de ce contrat ou service”. Revenir sur son consentement doit être aussi facile que le donner, ajoutent les députés.
Profilage
Les députés ont fixé des limites au “profilage”, une pratique utilisée pour analyser ou prédire les performances professionnelles d’une personne, sa situation économique, sa localisation, sa santé ou son comportement. Le profilage serait seulement autorisé si la personne concernée donne son consentement, si la loi le prévoit ou s’il est nécessaire pour l’exécution d’un contrat. De plus, une telle pratique ne devrait pas entrainer de discrimination ou être basée uniquement sur un traitement automatique des données. Toute personne devrait avoir le droit de s’opposer à des mesures de profilage, soulignent les députés.
Contexte
Le paquet sur la protection des données s’articule autour de deux projets législatifs: un règlement général qui couvre l’essentiel du traitement des données personnelles au sein de l’UE, incluant le secteur public et le secteur privé, et une directive sur la protection des données qui vise à prévenir, détecter ou poursuivre les infractions pénales ainsi qu’à appliquer les peines (application de la loi). La directive actuelle sur la protection des données date de 1995, avant qu’Internet soit largement utilisé, et ne couvre pas les données traitées à des fins d’exécution de la loi.
Les nouvelles règles actualisent les principes juridiques sur la protection des données pour prendre en compte les défis posés par les nouvelles technologies de l’information, la mondialisation et la tendance croissante d’utiliser les données personnelles à des fins répressives.
Prochaines étapes
Le vote de la commission parlementaire donne également au Parlement européen un mandat pour débuter les négociations avec les gouvernements nationaux au Conseil. Les pourparlers interinstitutionnels débuteront dès que le Conseil aura défini sa position de négociation pour les deux propositions (directive et règlement). L’objectif du Parlement est de conclure un accord sur cette importante réforme législative avant les élections européennes de mai 2014.
Le mandat de négociation pour le règlement a été adopté par 51 voix pour, une voix contre et 3 abstentions.
Le mandat de négociation pour la directive a été adopté par 47 voix pour, 4 voix contre et une abstention.