OBJECTIF: améliorer la protection des personnes à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union.
ACTE PROPOSÉ: Règlement du Parlement européen et du Conseil.
RÔLE DU PARLEMENT EUROPÉEN : le Parlement européen décide conformément à la procédure législative ordinaire sur un pied d’égalité avec le Conseil.
CONTEXTE: la protection des personnes physiques dans le cadre du traitement des données à caractère personnel est un droit fondamental. En outre, l'article 16, paragraphe 2, du traité FUE a introduit une base juridique spécifique pour l'adoption de règles relatives à la protection des données à caractère personnel.
Le règlement (CE) n ° 45/2001 du Parlement européen et du Conseil confère aux personnes physiques des droits juridiquement contraignants, définit les obligations en matière de traitement des données des contrôleurs au sein des institutions et organes communautaires et crée une autorité de surveillance indépendante, le contrôleur européen de la protection des données (CEPD) chargée du contrôle du traitement des données à caractère personnel par les institutions et organes de l'Union.
Toutefois, le règlement ne s'appliquerait pas au traitement de données à caractère personnel dans le cadre d'une activité d'institutions et d'organes de l'Union qui ne relèvent pas du champ d'application du droit de l'Union.
Le règlement (UE) 2016/679 du Parlement européen et du Conseil (Règlement général sur la protection des données) et la directive (UE) 2016/680 du Parlement européen et du Conseil ont été adoptés le 27 avril 2016. Alors que le règlement fixe des règles générales en vue de protéger les personnes physiques en ce qui concerne le traitement des données à caractère personnel et d’assurer la libre circulation des données à caractère personnel au sein de l'Union, la directive établit les règles spécifiques relatives à protection des personnes physiques en ce qui concerne le traitement des données à caractère personnel et la circulation des données à caractère personnel au sein de l'Union dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière.
Le règlement (UE) 2016/679 souligne la nécessité d'apporter les adaptations nécessaires du règlement (CE) n ° 45/2001 afin de fournir un cadre de protection des données solide et cohérent dans l'Union.
Dans l'intérêt d'une approche cohérente de la protection des données à caractère personnel dans toute l'Union et de la libre circulation des données à caractère personnel dans l'Union, il importe d'aligner autant que possible les règles de protection des données des institutions et des organes de l'Union sur les règles en matière de protection des données adoptées pour le secteur public dans les États membres.
CONTENU: afin d'harmoniser les règles existantes, qui remontent à 2001, avec les règles plus récentes et plus strictes établies par le règlement général de protection des données de 2016, la Commission a proposé ce qui suit:
Objectif: le règlement proposé poursuit un double objectif:
- protéger le droit fondamental à la protection des données et garantir la libre circulation des données à caractère personnel dans toute l'Union;
- permettre au contrôleur européen de la protection des données («CEPD») de surveiller l'application des dispositions du règlement à toutes les opérations de traitement effectuées par une institution ou un organe de l'Union.
Champ d'application: la proposition s'applique au traitement des données à caractère personnel par voie automatisée ou d’autres moyens par toutes les institutions et tous les organes de l'Union, dans la mesure où ce traitement est effectué dans le cadre d'activités dont la totalité ou une partie relève du champ d'application du droit de l'Union. Le champ d'application matériel du règlement est technologiquement neutre. La protection des données personnelles s'appliquerait au traitement des données à caractère personnel par des moyens automatisés, ainsi qu'au traitement manuel si les données personnelles qui sont contenues ou sont destinées à être contenues dans un système d’archivage.
Niveaux de protection : de nouveaux principes de transparence, d'intégrité et de confidentialité ont été incorporés dans le nouveau texte. Des conditions sont fixées pour la licéité du traitement des données personnelles des mineurs en rapport avec services de la société de l'information. Il est proposé de fixer à 13 ans l’âge minimum pour le consentement valable.
De nouvelles règles sont prévues pour assurer un niveau de protection spécifique concernant la transmission de données à caractère personnel aux destinataires, autres que les institutions et organes de l'Union. La proposition précise que le responsable du traitement de la transmission des données devra démontrer la nécessité et la proportionnalité de la transmission.
Le traitement de données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance à un syndicat, ainsi que le traitement de données génétiques, de données biométriques destinées à identifier une personne physique, la vie sexuelle ou l'orientation sexuelle d'une personne physique serait interdit.
Obligations du responsable du traitement: la proposition précise les obligations d'information du responsable envers la personne concernée lorsque des données à caractère personnel sont collectées auprès de cette personne, en fournissant des informations à la personne concernée, y compris sur la période de stockage des données, le droit de déposer une plainte et les transferts internationaux de données.
Les données à caractère personnel devaient rester confidentielles et seraient sujettes au respect d’une obligation de secret professionnel conformément au droit de l'Union. Cela pourrait s'appliquer, par exemple, dans les procédures en matière de sécurité sociale ou de santé.
D'autres modalités sont prévues pour faciliter l'exercice des droits de la personne concernée au titre du règlement, y compris les mécanismes permettant de demander et, le cas échéant, d'obtenir gratuitement l'accès aux données à caractère personnel et la rectification ou l'effacement de celles-ci.
Obligations des institutions de l'UE: la proposition prévoit l'obligation pour les institutions et organes de l'Union d'informer le CEPD de l'élaboration des mesures administratives et de règles internes relatives au traitement des données à caractère personnel. Elle prévoit également l'obligation pour la Commission de consulter le CEPD après l'adoption de propositions d'acte législatif et de recommandations ou de propositions au Conseil et lors de la préparation d'actes délégués ou d'actes d'exécution ayant un impact sur la protection des droits et Libertés relatives au traitement des données à caractère personnel.
Des dispositions sont également prévues concernant le transfert de données à caractère personnel vers des pays tiers ou des organisations internationales.
CEPD : des dispositions spécifiques sont prévues en ce qui concerne la nomination du CEPD par le Parlement européen et le Conseil, ainsi que la durée de son mandat (cinq ans), les conditions générales d'exercice des fonctions du CEPD et de son personnel et les ressources financières.