OBJECTIF : protéger les droits et libertés fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel, et garantir la libre circulation de ces dernières au sein de l’Union.
ACTE PROPOSÉ : Règlement du Parlement européen et du Conseil.
CONTEXTE : la pièce maîtresse de la législation de l’UE en matière de protection des données à caractère personnel, à savoir la directive 95/46/CE, poursuivait deux objectifs : protéger le droit fondamental à la protection des données et garantir la libre circulation des données à caractère personnel entre les États membres. Elle a été complétée par la décision-cadre 2008/977/JAI destinée à protéger les données à caractère personnel dans les domaines de la coopération policière et de la coopération judiciaire en matière pénale.
S’il demeure satisfaisant en ce qui concerne ses objectifs et ses principes, le cadre juridique actuel n'a cependant pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données à caractère personnel dans l'Union, une insécurité juridique et le sentiment, largement répandu dans le public, que des risques importants subsistent, notamment dans l’environnement en ligne. C'est pourquoi l’Union doit se doter d’un cadre juridique plus solide en matière de protection des données, assorti d’une application rigoureuse des règles, afin de permettre à l'économie numérique de se développer sur tout le marché intérieur.
La protection des données à caractère personnel joue un rôle crucial dans la stratégie numérique pour l'Europe et, plus généralement, dans la stratégie Europe 2020.
L'article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne (TFUE), introduit par le traité de Lisbonne, établit le principe selon lequel toute personne a droit à la protection des données à caractère personnel la concernant.
- En 2010, le Conseil européen a invité la Commission à évaluer le fonctionnement des instruments de l'UE relatifs à la protection des données et à présenter, si besoin est, de nouvelles initiatives législatives et non législatives.
- Dans son plan d'action mettant en œuvre le programme de Stockholm, la Commission insistait sur la nécessité de veiller à ce que le droit fondamental à la protection des données à caractère personnel soit appliqué systématiquement dans le cadre de toutes les politiques européennes. Dans sa communication intitulée «Une approche globale de la protection des données à caractère personnel dans l’Union européenne», elle a conclu que l’UE avait besoin d’une politique plus globale et plus cohérente à l’égard du droit fondamental à la protection des données à caractère personnel.
- Par résolution du 6 juillet 2011, le Parlement européen a adopté une résolution qui appuyait l'approche de la Commission quant à la réforme du cadre législatif régissant la protection des données.
La présente proposition s’inscrit dans le nouveau cadre juridique envisagé pour la protection des données à caractère personnel dans l'Union européenne, qui est décrit dans sa communication sur ce sujet. Ce nouveau cadre juridique se compose de deux propositions législatives:
- la présente proposition de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), et
- une proposition de directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, et à la libre circulation de ces données.
ANALYSE D’IMPACT : cette analyse reposait sur trois objectifs, à savoir: 1) renforcer la dimension «marché intérieur» de la protection des données, 2) rendre l’exercice du droit à la protection des données par les personnes physiques plus effectif et 3) instaurer un cadre global et cohérent couvrant tous les domaines de compétence de l’Union, y compris la coopération policière et la coopération judiciaire en matière pénale.
Trois options, prévoyant un degré d’intervention variable, ont été évaluées:
- Option 1 : apporter un minimum de modifications législatives et recourir à des communications interprétatives et à des mesures de soutien telles que des programmes de financement et des instruments techniques ;
- Option 2 : celle-ci consistait en un ensemble de dispositions législatives répondant à chacun des problèmes mis en évidence dans l'analyse ;
- Option 3 : prévoir la centralisation de la protection des données au niveau de l’UE grâce à l’adoption de règles précises et détaillées pour tous les secteurs et à la création d'une agence européenne chargée de surveiller et de contrôler l'application des dispositions.
L’option privilégiée qui est fondée sur la deuxième option, en y associant quelques éléments des deux autres, devrait permettre, entre autres : i) d’accroître la sécurité juridique pour les responsables du traitement des données et les citoyens, ii) de réduire la charge administrative, iii) d’harmoniser l’application des règles en matière de protection des données dans l’Union, iv) de renforcer l’exercice effectif par les personnes physiques de leur droit à la protection des données les concernant au sein de l’UE et v) d’améliorer l’efficacité de la surveillance et du contrôle de l’application des règles en la matière.
BASE JURIDIQUE : article 16, paragraphe 2, et son article 114, paragraphe 1, du traité sur le fonctionnement de l’Union européenne.
CONTENU : le règlement proposé vise à établir des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. Ses principales dispositions sont les suivantes :
Principes : la proposition énonce les principes relatifs au traitement des données à caractère personnel. Des éléments nouveaux ont été ajoutés, tels que le principe de transparence, des éclaircissements concernant le principe de minimisation des données et l’instauration d'une responsabilité globale du responsable du traitement. En outre, elle définit les critères de licéité du traitement, précise les conditions auxquelles le consentement peut valablement fonder un traitement licite, et fixe d’autres conditions de licéité pour le traitement des données à caractère personnel relatives aux enfants, en ce qui concerne les services de la société de l’information qui sont directement proposés à ces derniers.
Droits de la personne concernée : la proposition introduit l'obligation, pour les responsables du traitement, de fournir des informations transparentes, facilement accessibles et intelligibles. Elle oblige le responsable du traitement à prévoir des procédures et des mécanismes permettant à la personne concernée d’exercer ses droits. Elle précise les informations que le responsable du traitement est tenu de fournir et en ajoute de nouvelles, notamment la durée de conservation, le droit d’introduire une réclamation, les transferts internationaux et la source des données.
En outre, la proposition confère :
- un droit d'accès aux données à caractère personnel, en y ajoutant de nouveaux éléments tels que l’obligation d’informer les personnes concernées de la durée de conservation, de leur droit à rectification et à l'effacement et de leur droit de réclamation ;
- un droit à l’oubli numérique tout en précisant le droit d’effacement prévu à la directive 95/46/CE ;
- un nouveau droit, le droit à la portabilité des données, c’est-à-dire celui de transmettre des données d’un système de traitement automatisé à un autre, sans que le responsable du traitement ne puisse y faire obstacle ;
- un droit d’opposition tout en traitant du droit de la personne concernée de ne pas être soumise à une mesure fondée sur le profilage.
Responsable du traitement : la proposition tient compte du débat sur un «principe de responsabilité» et décrit en détail les obligations incombant au responsable du traitement pour se conformer au règlement et en apporter la preuve, notamment par l'adoption de règles internes et de mécanismes à cet effet. Elle introduit, pour les responsables du traitement et les sous-traitants, l’obligation : i) de conserver une trace documentaire des opérations de traitement sous leur responsabilité ; ii) de notifier les violations de données à caractère personnel ; iii) de mettre en œuvre les mesures appropriées pour assurer la sécurité du traitement ; iv) d’effectuer une analyse d’impact relative à la protection des données préalablement aux traitements présentant des risques.
La proposition introduit en outre l’obligation de désigner un délégué à la protection des données pour le secteur public et, dans le secteur privé, pour les grandes entreprises, ou lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui exigent un suivi régulier et systématique.
Transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale : la proposition définit les critères, conditions et procédures d'adoption d'une décision de la Commission constatant un niveau de protection adéquat. Les critères devant être pris en compte par la Commission incluent expressément l’État de droit, l'existence d'un droit de recours judiciaire et un contrôle indépendant.
La proposition subordonne également les transferts vers des pays tiers pour lesquels la Commission n’a pas adopté de décision constatant un niveau de protection adéquat, à la présentation de garanties appropriées, notamment des clauses types de protection des données, des règles d'entreprise contraignantes et des clauses contractuelles.
Autorités de contrôle indépendantes : la proposition fait obligation aux États membres de mettre en place une ou plusieurs autorités de contrôle, et d'élargir la mission de celles-ci à la coopération entre elles et avec la Commission. Elle clarifie les conditions garantissant l'indépendance des autorités de contrôle, en application de la jurisprudence de la Cour de justice de l'Union européenne.
Coopération et cohérence : la proposition instaure des règles explicites en matière d'assistance mutuelle obligatoire et prévoit notamment les conséquences en cas de refus de se conformer à la demande d’une autre autorité de contrôle. Elle met en place un mécanisme de contrôle de la cohérence, en vue d'assurer une application uniforme des règles lorsqu'il s'agit de traitements qui peuvent viser des personnes concernées dans plusieurs États membres.
En outre, elle institue le comité européen de la protection des données, composé des directeurs des autorités de contrôle de tous les États membres et du contrôleur européen à la protection des données, en remplacement du groupe de protection des personnes à l'égard du traitement des données à caractère personnel créé par l'article 29 de la directive 95/46/CE.
Voies de recours et sanctions : la proposition : i) prévoit le droit de toute personne concernée de déposer une réclamation auprès d'une autorité de contrôle ; ii) précise les organismes ou associations habilités à déposer une réclamation au nom de la personne concernée ou, en cas de violation de données à caractère personnel, indépendamment de toute réclamation introduite par une personne concernée ; iii) étend le droit à réparation aux dommages causés par les sous-traitants ; iv) clarifie la responsabilité des responsables conjoints du traitement et des sous-traitants ; v) oblige les États membres à définir les sanctions pénales applicables aux infractions aux dispositions du règlement.
INCIDENCE BUDGÉTAIRE : les incidences budgétaires spécifiques de la proposition concernent les missions dévolues au contrôleur européen de la protection des données. Ces incidences nécessitent une reprogrammation de la rubrique 5 du cadre financier. Le total des crédits est estimé à 24,339 millions EUR pour la période 2014-2020. La proposition n'a pas d'incidence sur les dépenses de fonctionnement.
ACTES DÉLÉGUÉS : la proposition contient des dispositions habilitant la Commission à adopter des actes délégués conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne.