La commission des libertés civiles, de la justice et des affaires intérieures a adopté le rapport de Jan Philipp ALBRECHT (Verts/ALE, DE) sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).
La commission parlementaire a recommandé que la position du Parlement européen adoptée en première lecture suivant la procédure législative ordinaire modifie la proposition de la Commission comme suit.
Champ d'application territorial : les députés ont précisé que le règlement devrait également s'appliquer à un responsable du traitement qui n'est pas établi dans l'Union lorsque les activités de traitement sont liées à l'offre de biens ou de services à des personnes concernées dans l'Union, que ces biens ou services fassent l'objet d'un paiement ou non, ou à l'observation du comportement de ces personnes
Conditions de consentement : lorsque le traitement des données est basé sur le consentement, le rapport a confirmé que la charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées doit incomber au responsable du traitement. Les députés ont ajouté que :
- les dispositions relatives au consentement de la personne concernée qui enfreignent partiellement le règlement seraient entièrement nulles ;
- il devrait être aussi simple de retirer son consentement que de le donner ; la personne concernée devrait être informée par le responsable du traitement si le retrait du consentement peut entraîner la cessation de la fourniture des services ou de la relation avec le responsable du traitement ;
- le consentement serait lié à la finalité et deviendrait caduc lorsque cette finalité n'existe plus ou dès que le traitement des données à caractère personnel n'est plus nécessaire pour la réalisation de la finalité pour laquelle elles ont été initialement collectées.
Les informations fournies aux enfants, aux parents et aux tuteurs légaux, y compris en ce qui concerne la collecte et l'utilisation des données par le responsable du traitement, devraient être communiquées dans des termes clairs adaptés au public visé.
Droit à l’oubli numérique : les députés ont renforcé ce droit dans la mesure ou la personne concernée pourrait obtenir de tiers l'effacement de tous les liens vers les données à caractère personnel diffusées, ou de toute copie ou reproduction de celles-ci, pour l'un des motifs suivants:
- un tribunal ou une autorité réglementaire basé(e) dans l'Union a jugé que les données concernées doivent être effacées et cette décision a acquis force de chose jugée;
- les données ont fait l'objet d'un traitement illicite.
Le responsable du traitement et, le cas échant, le tiers devraient procéder à l'effacement sans délai, sauf lorsque la conservation des données à caractère personnel est nécessaire à certaines fins.
Obligation de notifier les rectifications et les effacements : le responsable du traitement devrait communiquer à chaque destinataire à qui les données ont été transférées toute rectification ou tout effacement effectué, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné. Le responsable devrait informer la personne concernée de ces destinataires si celle-ci en fait la demande.
Politiques d'information normalisées : les députés ont introduit un nouvel article stipulant que lorsque des données relatives à une personne concernée sont collectées, le responsable du traitement devrait informer la personne concernée d’une série éléments avant de fournir les informations requises par le règlement.
Ces éléments d’information porteraient sur la question de savoir si les données : i) sont collectées et conservées ou non au-delà du minimum nécessaire pour chaque objectif spécifique du traitement; ii) sont traitées ou non à des fins autres que celles de leur collecte; iii) sont divulguées à des tiers commerciaux, vendues ou louées; iv) sont conservées ou non sous forme cryptée.
Par la suite, le responsable du traitement devrait également fournir des informations relatives à la sécurité et au traitement des données, le cas échéant, des informations relatives à l'existence d'un profilage, des informations intelligibles relatives à la logique qui sous-tend tout traitement automatisé, ainsi que des informations indiquant si les données ont été fournies aux autorités publiques au cours de la dernière période de 12 mois consécutifs.
Droit à la portabilité des données : les députés ont supprimé les dispositions proposées par la Commission sur la portabilité des données.
Le rapport prévoit que lorsque les données ont été communiquées par la personne concernée et que ces données font l'objet d'un traitement automatisé, la personne concernée devrait avoir le droit d'obtenir auprès du responsable du traitement une copie des données communiquées dans un format électronique interopérable permettant la réutilisation de ces données par la personne concernée, sans que le responsable du traitement auquel les données à caractère personnel sont retirées n'y fasse obstacle.
Lorsque cela est techniquement réalisable et matériellement possible, les données seraient transférées directement d'un responsable du traitement à un autre à la demande de la personne concernée.
Profilage : le rapport a clarifié que toute personne physique doit avoir le droit de s'opposer au profilage. La personne concernée devrait être informée de son droit de s'opposer au profilage de façon évidente.
Tout profilage ayant pour effet d'instaurer une discrimination fondée sur la race ou l'origine ethnique, les opinions politiques, la religion ou les convictions, l'appartenance syndicale, l'orientation sexuelle ou l'identité de genre devrait être interdit. Le responsable du traitement devrait assurer une protection efficace contre les discriminations pouvant découler du profilage.
En outre, le profilage conduisant à des mesures produisant des effets juridiques pour la personne concernée ne devrait pas être fondé exclusivement sur le traitement automatisé et devrait inclure une appréciation humaine, y compris une explication de la décision prise à la suite de cette appréciation.
Transferts ou divulgations non autorisés par la législation de l'Union : un nouvel article stipule qu’aucune décision d'une juridiction d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il divulgue des données à caractère personnel n'est reconnue ni rendue exécutoire de quelque manière que ce soit (sans préjudice d'un accord international entre le pays tiers demandeur et l'Union ou un État membre).
Dans un considérant, il est précisé que lorsque les responsables du traitement ou les sous-traitants sont confrontés à des exigences de conformité contradictoires entre la juridiction de l'Union, d'une part, et celle d'un pays tiers, d'autre part, la Commission devrait toujours veiller à faire prévaloir la législation de l'Union.
Autorité chef de file : lorsque le traitement de données a lieu dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant établis dans l’Union, les députés ont proposé que l’autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant soit l'autorité chef de file responsable du contrôle des activités de traitement des données dans tous les États membres.
Le comité européen de la protection des données émettrait, à la demande d'une autorité de contrôle compétente, un avis sur l'identification de l'autorité chef de file responsable. L'autorité prendrait les mesures qui s'imposent après consultation de toutes les autres autorités de contrôle compétentes en vue de parvenir à un consensus. Elle serait la seule autorité habilitée à prendre des décisions concernant les mesures destinées à produire des effets juridiques vis-à-vis des activités du responsable du traitement ou du sous-traitant dont elle est responsable.
Délégué à la protection des données : le rapport a proposé que le responsable du traitement et le sous-traitant désignent systématiquement un délégué à la protection des données lorsque le traitement est effectué par une personne morale et porte sur plus de 5000 personnes concernées sur une période de douze mois consécutifs. Les délégués à la protection des données seraient désignés pour une durée minimale de quatre ans lorsqu'il s'agit d'un salarié ou de deux ans lorsqu'il s'agit d'un prestataire externe.
Les délégués à la protection des données seraient tenus au secret professionnel pour ce qui est de l'identité des personnes concernées et des circonstances permettant à celles-ci d'être identifiées.
Sanctions administratives : un amendement stipule que l’autorité de contrôle devrait infliger à toute personne ne se conformant pas aux obligations énoncées dans le règlement l’une au moins des sanctions suivantes :
- un avertissement par écrit lors d'une première infraction non intentionnelle;
- des vérifications périodiques régulières de la protection des données;
- une amende pouvant atteindre 100 millions EUR ou au maximum 5% du chiffre d'affaire annuel mondial dans le cas d'une entreprise, le montant le plus élevé devant être retenu.
Si le responsable du traitement ou le sous-traitant est détenteur d’un «label européen de protection des données» valable, l’amende serait exclusivement appliquée dans les cas de manquement de propos délibéré ou par négligence.