D’ici cet été, l’Europe disposera d’un nouveau règlement précisant les droits des citoyens et les obligations des entreprises, privées et publiques. Pour la protection de la vie privée, ce texte permettra de répondre plus précisément à l’Internet d’aujourd’hui. La directive de 1995 et ses mises à jour étaient en effet obsolètes.
L’adoption d’un texte final, validé par le Parlement européen, la Commission européenne et le Conseil de l’Europe, aura le mérite de clarifier la situation avec des contraintes plus explicites pour les professionnels.
Les obligations des entreprises
La collecte et le traitement des données par les entreprises, quel que soit leur statut, va être réglementés par différentes mesures dont certaines n’entreront en vigueur qu’en 2018. Principale nouveauté, l’accord tacite, basé sur le principe du « qui ne dit mot consent », est révolu. Avant de recueillir des informations sur leurs visiteurs, les sites devront solliciter leur consentement explicite sous la forme, par exemple, d’une case à cocher. Si ses données personnelles ont été collectées irrégulièrement ou si une personne ne souhaite plus l’exploitation d’informations la concernant, elle pourra faire jouer son « droit à l’oubli ». Ce nouveau règlement européen élargit donc à toutes les entreprises ce que la justice a déjà imposé aux moteurs de recherche, en particulier à Google.
Par ailleurs, si un internaute souhaite récupérer des données personnelles récupérées et analysées par une entreprise, celle-ci devra les lui fournir dans un format utilisable par un autre service en ligne. Cette « portabilité » des informations risque néanmoins d’être une contrainte pour certaines entreprises… L’irréversibilité des données a en effet donné lieu à différents litiges, voire des procès (comme ce fut le cas entre Oracle et l’UMP), entre hébergeurs de données et leurs clients…
Histoire de convaincre les entreprises de tout mettre en œuvre pour protéger les données qu’elles stockent et parfois analysent, l’Europe annonce des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires mondial. Certains pays, comme l’Allemagne, estimant que ce pourcentage pouvait être nuisible aux intérêts des entreprises, l’Europe a indiqué que les professionnels qui traiteront de façon anonyme les données personnelles ne seront pas contraints par cette réglementation.
Toujours dans le but de renforcer la protection des données sensibles (santé, opinion, etc.), le texte européen impose aux entreprises publiques de nommer un data protection officer, dont le rôle est proche du CIL, le Correspondant informatique et liberté.
Les droits des citoyens
Leurs droits sont renforcés puisque le texte leur garantit un meilleur accès aux données les concernant et entérine le principe du « droit à l’oubli ».
Les données liées à l’exercice de droits et de choix fondamentaux, comme la religion, l’appartenance politique ou la race bénéficient d’une protection renforcée. Leur traitement devrait être une exception et soumis, avant leur exécution, à une analyse d’impact du risque.
Enfin, comme c’est le cas dans certains États américains, les entreprises ayant constaté une fuite de données devront informer dans les 72 heures les autorités et les personnes concernées. Cette obligation est levée lorsque les informations sont chiffrées.
Les droits des États
Bien que ce texte s’impose à tous les États membres, ces derniers pourront adapter certains points. C’est le cas notamment de l’âge de « la majorité numérique », c’est-à-dire l’âge à partir duquel un adolescent n’a plus besoin de demander l’accord de ses parents pour accéder à un service en ligne. Bruxelles proposait 13 ans, comme aux États-Unis. Mais les États membres, et en particulier la France, préféraient 16 ans.
Finalement, les États membres pourront déroger à la règle générale des 16 ans.
Par Philippe Richard
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE