Vers un renforcement de la protection des données personnelles

Essor du numérique et évolution des technologies obligent, le texte de référence, au niveau européen, en matière de protection des données à caractère personnel va enfin être modernisé. Ce cadre réglementaire, qui date de 1995 [1], vise à établir un équilibre entre un niveau élevé de protection de la vie privée et la libre circulation de ces données au sein de l’Union européenne.
La révision de la directive devient donc une des priorités stratégiques de la Commission européenne. Ses objectifs : réduire les divergences entre Etats membres dans la mise en œuvre de la directive, clarifier l’application de certaines règles et principes clés, ajouter de nouveaux principes, et moderniser certaines pratiques. Ou encore, dans un contexte de globalisation, encadrer de façon plus efficace les transferts hors UE de données personnelles. La Vice-présidente de la Commission, Viviane Reding, en charge de la Justice, des Droits fondamentaux et de la Citoyenneté, a donc déposé, le 25 janvier dernier, une proposition de règlement au Parlement européen afin « de renforcer les droits en matière de respect de la vie privée dans l’environnement en ligne et de donner un coup d’accélérateur à l’économie numérique européenne » . Cette refonte prend la forme d’une proposition de règlement, qui, à l’inverse d’une directive, est d’application directe, et en conséquence ne nécessite pas de loi de transposition en droit interne.

Renforcement de la protection des mineurs. Le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans ne sera licite que si, et dans la mesure, où le consentement a été donné ou autorisé par un parent de l’enfant ou une personne qui en a la garde. Le responsable du traitement devra en conséquence s’efforcer d’obtenir un « consentement vérifiable », compte tenu des moyens techniques disponibles.

Renforcement de l’information des personnes inscrites dans un fichier. Le responsable du traitement sera notamment tenu d’informer les personnes, lors de la collecte de leurs données personnelles, de la durée pendant lesquelles celles-ci seront conservées ; de la possiblité de saisir une autorité de contrôle (la Cnil, en France) en indiquant ses coordonnées ; ainsi que de l’origine des données personnelles lorsque celles-ci n’ont pas été collectées directement auprès de ces dernières.

Renforcement de l’information sur le droit d’opposition. Lorsque les données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée a le droit de s’opposer à leur traitement à ce titre. Ce droit devra être explicitement proposé, d’une façon intelligible et pouvoir être clairement distingué d’autres informations.

Obligation d’information sur la violation des données. Lorsque la violation de données personnelles [2] est susceptible de porter atteinte à la protection de ces données ou à la vie privée, le responsable du traitement, après avoir notifié cette violation auprès de son autorité de contrôle (la Cnil, en France), devra en informer sans retard la personne concernée. Cette communication doit indiquer la nature de la violation des données personnelles et préciser au moins :
 l’identité et les coordonnées du délégué à la protection des données (Correspondant Informatique et Libertés – CIL) ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
 les mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données personnelles.
Toutefois, cette communication n’est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données touchées par la violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès. Enfin, dans le cas où le responsable de traitement n’a pas respecté son obligation d’information auprès des personnes dont les données ont été perdues ou piratées, l’autorité de contrôle pourra, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu’il s’exécute.