Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Données personnelles : renforcement de la règlementation européenne (partie 1)

RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)

Vous êtes ici : Accueil > Actualités

mardi 29 janvier 2013

La directive européenne du 24 octobre 1995 [1] constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel.

Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l’Union européenne.

Or, la révision de cette directive est actuellement une des priorités stratégiques de la Commission européenne, notamment, afin de réduire les divergences entre Etats membres dans la mise en œuvre de la directive, clarifier l’application de certaines règles et principes clés, ajouter de nouveaux principes, moderniser certaines pratiques et encadrer de façon plus efficace les transferts hors Union européenne de données personnelles.

Sa Vice-Présidente, Madame Viviane Reding, Commissaire en charge de la justice, des droits fondamentaux et de la citoyenneté, a donc déposé le 25 janvier dernier une proposition de règlement au parlement européen afin « de renforcer les droits en matière de respect de la vie privée dans l’environnement en ligne et de donner un coup d’accélérateur à l’économie numérique européenne » [2].

Cette réforme prend la forme d’une proposition de règlement, qui à l’inverse d’une directive, est d’application directe, et en conséquence ne nécessite pas de loi de transposition interne.

Cet article a pour objectif de présenter les principales évolutions du futur cadre législatif européen en matière de protection des données à caractère personnel concernant le renforcement des droits des personnes concernées.

Renforcement de la protection des mineurs

Le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans ne sera licite que si et dans la mesure où le consentement a été donné ou autorisé par un parent de l’enfant ou par une personne qui en a la garde.

Le responsable du traitement doit en conséquence s’efforcer d’obtenir un « consentement vérifiable », compte tenu des moyens techniques disponibles.

Renforcement de l’information des personnes concernées par un traitement

Le responsable du traitement devra notamment informer les personnes lors de la collecte de leurs données à caractère personnel de la durée pendant lesquelles celle-ci seront conservées ; la possibilité de saisir une autorité de contrôle en indiquant ses coordonnées (ex. CNIL) ; ainsi que l’origine des données à caractère personnel lorsque celles-ci n’ont pas été collectées directement auprès de ces derniers.

Renforcement de l’information sur le droit d’opposition

Lorsque les données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée a le droit de s’opposer au traitement de ses données à caractère personnel en vue de ce marketing direct. Ce droit est explicitement proposé à la personne concernée d’une façon intelligible et doit pouvoir être clairement distingué d’autres informations.

Communication à la personne concernée d’une violation de ses données

Constitue une « violation de données à caractère personnel », toute violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d’une autre manière.

Lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée, le responsable du traitement, après avoir procédé à la notification de cette violation auprès de son autorité de contrôle (exemple : la CNIL en France), communique la violation sans retard indu à la personne concernée.

Cette communication à la personne concernée doit décrire la nature de la violation des données à caractère personnel et contenir au moins les informations et recommandations suivantes :

  • communication de l’identité et les coordonnées du délégué à la protection des données (Correspondant Informatique et Libertés – CIL) ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • recommandation des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel.

Toutefois, la communication à la personne concernée d’une violation de ses données à caractère personnel n’est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation.
De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.
Enfin, dans le cas où le responsable de traitement n’a pas informé les personnes concernées de la violation de leurs données, l’autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu’il s’exécute.

Actuellement, la CNIL reconnait que ce projet de règlement apporte des avancées substantielles qui étaient attendues et nécessaires pour les personnes concernées par un traitement de leurs données :

  • reconnaissance d’un droit à l’oubli ;
  • reconnaissance d’un droit à la portabilité des données ;
  • clarification des règles relatives au recueil du consentement et à l’exercice de leurs droits.

Nous aborderons dans une partie 2 : les nouvelles obligations incombant au responsable du traitement.

[1Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995, p. 31.

Nos partenaires

Réalisation : Clic Story ®

Plan du site