Le Parlement européen a adopté par 621 voix pour, 10 contre et 22 abstentions, une résolution législative sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).
La position en première lecture adoptée par le Parlement européen suivant la procédure législative ordinaire a modifié la proposition de la Commission comme suit :
Champ d'application territorial : les députés ont précisé que le règlement devrait s’appliquer que le traitement des données ait lieu ou pas dans l’Union. Il s’appliquerait au traitement des données appartenant à des personnes concernées dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées.
Principes relatifs au traitement des données : ces principes devraient être ceux de : i) licéité, loyauté, et transparence ; ii) limitation de la finalité ; iii) limitation des données au minimum ; iv) exactitude ; vi) minimisation de la durée de conservation ; v) effectivité pour la personne d’exercer ses droits ; vi) intégrité, c’est-à-dire protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, et vii) responsabilité.
Conditions de consentement : la personne concernée devrait être informée, en particulier, de l'existence du traitement des données et de ses finalités, de la durée probable pendant laquelle les données seront conservées pour chaque finalité, de la transmission éventuelle des données à des tiers ou à des pays tiers.
Lorsque le traitement des données est basé sur le consentement, le Parlement a confirmé que la charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées doit incomber au responsable du traitement. Les députés ont ajouté que :
- les dispositions relatives au consentement de la personne concernée qui enfreignent partiellement le règlement seraient entièrement nulles ;
- il devrait être aussi simple de retirer son consentement que de le donner ; la personne concernée devrait être informée par le responsable du traitement si le retrait du consentement peut entraîner la cessation de la fourniture des services ou de la relation avec le responsable du traitement ;
- le consentement serait lié à la finalité et deviendrait caduc lorsque cette finalité n'existe plus ou dès que le traitement des données à caractère personnel n'est plus nécessaire pour la réalisation de la finalité pour laquelle elles ont été initialement collectées.
Les informations fournies aux enfants, aux parents et aux tuteurs légaux, y compris en ce qui concerne la collecte et l'utilisation des données par le responsable du traitement, devraient être communiquées dans des termes clairs adaptés au public visé.
Seraient interdits, le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances philosophiques, l'orientation sexuelle ou l'identité de genre, l'appartenance et les activités syndicales, ainsi que le traitement des données génétiques ou biométriques ou des données concernant la santé ou relatives à la vie sexuelle, aux sanctions administratives, aux jugements, à des infractions pénales ou à des suspicions ou à des condamnations.
Principes généraux en matière de droits des personnes concernées : le Parlement a proposé de renforcer, de clarifier, de garantir et, le cas échéant, de codifier ces droits qui devraient être clairs et univoques. Ces droits incluraient notamment :
- la fourniture d'informations claires et aisément compréhensibles quant au traitement des données à caractère personnel,
- le droit d'accéder à ses données, de les rectifier ou de les effacer,
- le droit d'obtenir des données,
- le droit de s'opposer au profilage, c’est-à-dire toute forme de traitement automatisé de données destiné à évaluer certains aspects personnels propres à une personne physique ou à prévoir le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement ;
- le droit de déposer une réclamation auprès de l'autorité de protection des données compétente et d'engager une action en justice,
- le droit d'obtenir réparation et de percevoir une indemnisation en cas d'opération de traitement illégale.
Ces droits devraient pouvoir en général être exercés sans frais. Le responsable du traitement devrait répondre aux demandes de la personne concernée dans un délai raisonnable.
Politiques d'information normalisées : le Parlement a introduit un nouvel article stipulant que lorsque des données relatives à une personne concernée sont collectées, le responsable du traitement devrait informer la personne concernée d’une manière visible et facilement lisible et dans un langage aisément compréhensible d’une série éléments avant de fournir les informations requises par le règlement.
Ces éléments d’information porteraient sur la question de savoir si les données : i) sont collectées et conservées ou non au-delà du minimum nécessaire pour chaque objectif spécifique du traitement; ii) sont traitées ou non à des fins autres que celles de leur collecte; iii) sont divulguées à des tiers commerciaux, vendues ou louées; iv) sont conservées ou non sous forme cryptée.
Droit à l’effacement : les députés ont renforcé ce droit dans la mesure ou la personne concernée pourrait obtenir de tiers l'effacement de tous les liens vers les données à caractère personnel diffusées, ou de toute copie ou reproduction de celles-ci, pour l'un des motifs suivants:
- un tribunal ou une autorité réglementaire basé(e) dans l'Union a jugé que les données concernées doivent être effacées et cette décision a acquis force de chose jugée;
- les données ont fait l'objet d'un traitement illicite.
Lorsque le responsable du traitement a rendu publiques les données sans aucune justification, il devrait prendre toutes les mesures raisonnables pour procéder à l'effacement de ces données, y compris par des tiers. Il devrait informer la personne concernée, lorsque cela est possible, des mesures prises par les tiers concernés.
Profilage : le Parlement a clarifié que toute personne physique devrait avoir le droit de s'opposer au profilage. La personne concernée devrait être informée de son droit de s'opposer au profilage de façon évidente.
Tout profilage ayant pour effet d'instaurer une discrimination fondée sur la race ou l'origine ethnique, les opinions politiques, la religion ou les convictions, l'appartenance syndicale, l'orientation sexuelle ou l'identité de genre devrait être interdit. Le responsable du traitement devrait assurer une protection efficace contre les discriminations pouvant découler du profilage.
En outre, le profilage conduisant à des mesures produisant des effets juridiques pour la personne concernée ne devrait pas être fondé exclusivement sur le traitement automatisé et devrait inclure une appréciation humaine, y compris une explication de la décision prise à la suite de cette appréciation.
Sécurité des traitements : la politique de sécurité devrait inclure la capacité : i) de garantir l'intégrité de la personne concernée; ii) de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement des données à caractère personnel; iii) de rétablir la disponibilité des données et l'accès à celles-ci, dans les plus brefs délais, en cas d'incident.
Transferts ou divulgations non autorisés par la législation de l'Union : un nouvel article stipule qu’aucune décision d'une juridiction d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il divulgue des données à caractère personnel ne serait reconnue ni rendue exécutoire de quelque manière que ce soit (sans préjudice d'un accord international entre le pays tiers demandeur et l'Union ou un État membre).
Autorité chef de file : lorsque le traitement de données a lieu dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant établis dans l’Union, le Parlement a proposé que l’autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant soit l'autorité chef de file responsable du contrôle des activités de traitement des données dans tous les États membres.
Sanctions administratives : un amendement stipule que l’autorité de contrôle devrait infliger à toute personne ne se conformant pas aux obligations énoncées dans le règlement l’une au moins des sanctions suivantes :
- un avertissement par écrit lors d'une première infraction non intentionnelle;
- des vérifications périodiques régulières de la protection des données;
- une amende pouvant atteindre 100 millions EUR ou au maximum 5% du chiffre d'affaire annuel mondial dans le cas d'une entreprise, le montant le plus élevé devant être retenu.
Si le responsable du traitement ou le sous-traitant est détenteur d’un «label européen de protection des données» valable, l’amende serait exclusivement appliquée dans les cas de manquement de propos délibéré ou par négligence.