Adoption du règlement européen par le Parlement européen : un grand pas pour la protection des données en Europe

 

cnil_logo

Le Parlement européen a adopté le 14 avril le règlement européen sur la protection des données. Il sera applicable en 2018 dans tous les pays membres de l’Union européenne.

L’adoption du règlement européen sur la protection des données personnelles par le Parlement européen le 14 avril constitue l’aboutissement de quatre années de travail et de négociations intenses et marque un tournant majeur dans la régulation des données personnelles.

Le règlement renforce les droits des citoyens européens et leur donne plus de contrôle sur leurs données personnelles. Il simplifie les formalités pour les entreprises et leur offre un cadre juridique unifié.

Le règlement européen permet :

  • Pour le citoyen, un renforcement des droits existants, notamment en lui permettant de disposer d’informations complémentaires sur le traitement de ses données mais également de les obtenir sous une forme claire, accessible et compréhensible. Le droit à l’oubli est conforté et un nouveau droit, le droit à la portabilité, est prévu, rendant ainsi plus effective la maîtrise de ses données par la personne. Les mineurs font également l’objet d’une protection particulière.
  • Pour les entreprises, une simplification des formalités, la possibilité d’un interlocuteur unique pour toutes les autorités de protection des données européennes et d’une mise à disposition d’une boite à outils de conformité dont certains seront nouveaux (ex : code de conduite, certification). Ces outils pourront être modulés en fonction du risque sur les droits et libertés des personnes. (ex : tenue d’un registre, consultation des autorités de protection, notification des failles de sécurité).
  • Pour les autorités de protection, une affirmation de leurs compétences dès lors qu’il existe un établissement sur le territoire de l’Union ou que leurs citoyens sont affectés par le traitement, mais également un renforcement de leurs pouvoirs, notamment répressifs avec la possibilité de prononcer des sanctions administratives pouvant aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise concernée. Surtout, les « CNIL » européennes pourront désormais prononcer des décisions conjointes, aussi bien pour constater la conformité d’un organisme que pour prononcer une sanction. Cette intégration européenne renforcera ainsi la protection des personnes et la sécurité juridique pour les entreprises.
  • Une nouvelle architecture de coopération entre les autorités de protection avec un nouvel organe européen : le Comité Européen de la Protection des Données (CEPD) en charge d’arbitrer les différends entre les autorités et également d’élaborer une doctrine « européenne ». Cette entité, qui prend la suite du G29, verra son indépendance renforcée et pourra rendre des avis contraignants, notamment dans le cadre de procédures de sanctions.

Cette adoption signifie aussi le début d’un compte à rebours qui va durer deux ans, jusqu’à la mise en œuvre effective du règlement en 2018.

Le G29, qui réunit les CNIL européennes est déjà en ordre de marche pour accompagner les entreprises à se préparer pour être prêtes en 2018. Il travaille aussi à la mise en place du prochain European Data Protection Board qui prendra la suite du G29. Des consultations avec les parties prenantes sont prévues avant l’été.

Le règlement sera publié dans les prochaines semaines au Journal officiel de l’Union européenne.