Le « Paquet données personnelles » a été adopté par la commission Libertés civiles, justice et affaires intérieures (LIBE) du Parlement le 21 octobre 2013, à une très forte majorité.
Le paquet s’organise autour d’un règlement général sur la protection des données personnelles, et d’une directive spécifique en matière d’infractions pénales.
En premier lieu, l’accent est mis sur l’information de la personne dont les données sont transférées en dehors de l’Union Européenne. Les sanctions prévues en cas de non-respect de cette obligation sont lourdes puisque les textes prévoient une amende pouvant s’élever à 100 millions d’euros ou 5% du chiffre d’affaire annuel mondial de l’entreprise qui se livrerait à ce transfert. L’autorité de protection des données personnelles nationale devrait en outre donner son accord avant tout transfert.
Le paquet consacre également un « droit à l’effacement », accordé au citoyen qui en ferait la demande. Ainsi, un citoyen d’un Etat membre de l’Union Européenne pourrait demander à toute entité contrôlant ses données personnelles que celles-ci soient totalement supprimées.
Les nouveaux textes insistent également sur un renforcement du mécanisme de l’ « opt-in », rappelant la nécessité pour l’entité d’obtenir le consentement clair et non équivoque des personnes dont les données sont collectées.
Enfin, le paquet prévoit une limitation des pratiques de profilage, assurant le suivi de la performance au travail, la situation économique, la localisation, la santé ou le comportement d’une personne, par l’obtention du consentement de cette dernière.
Ce renforcement de la réglementation, qui aurait pour effet d’aboutir à une harmonisation de la protection des données personnelles au niveau européen, apparaissait comme une nécessité, compte tenu notamment du poids du traitement de ces données dans l’économie – la valeur de l’ensemble des données personnelles des consommateurs européens ayant été estimée à 315 milliards d’euros en 2011 par une étude du Boston Consulting Group – et de la méfiance des citoyens européens à l’égard de l’utilisation de leurs données, accentuée encore récemment par la révélation des écoutes massives effectuées par la NSA.
Ce vote constitue une étape-clé dans un processus législatif difficile. Un premier projet de règlement avait été présenté en janvier 2012 qui s’articulait déjà autour des mêmes thèmes, notamment le consentement explicite de la personne dont les données sont utilisées et le droit à l’oubli. L’amende maximum proposée à l’époque était toutefois moins élevée que dans le paquet finalement voté par la Commission LIBE, puisqu’elle était de 2% du chiffre d’affaire annuel mondial.
Très vivement contesté, le projet de règlement avait entraîné un lobbying particulièrement intense de la part de nombreuses entreprises américaines, et plus de 4000 amendements au texte avaient été déposés en quelques mois. Le projet avait de ce fait pâti d’un calendrier très ralenti, la commission LIBE espérant à l’époque voter ce texte avant l’été.
Ce vote, bien que fondamental pour l’avenir du paquet, ne constitue toutefois qu’une étape intermédiaire dans la mise en place de la réglementation, les négociations entre le Parlement et le Conseil devant encore se mettre en place afin de parvenir à un accord sur une version finale du texte. Le Parlement européen a exprimé le souhait d’aboutir à cet accord avant les élections européennes de mai 2014. Lors du sommet européen qui a réuni les chefs des Etats membres le jeudi 24 octobre, à Bruxelles, le Conseil s’est, lui, prononcé sur un report à 2015.
Camilia CHEBBI
Téléchargez cet article au format .pdf
Confirmation en appel du statut d’éditeur d’un site de vente aux enchères et de parking de noms de domaine