Ce début d’année est l’occasion de la publication du projet de rapport de Jan Philipp Albrecht, rapporteur à la Commission Libertés civiles, justice et affaires intérieures du Parlement européen, portant sur la proposition de règlement européen pour la protection des données à caractère personnel (1).
Les objectifs recherchés par cette Commission, dans le projet de rapport susvisé, visaient à adopter une approche globale de la protection des données, à renforcer les droits de personnes concernées, à faire avancer la dimension et la cohérence internationale du marché et à renforcer la dimension mondiale des flux de données. Dans la droite ligne de ces objectifs, les principales remarques du rapporteur portent sur les points suivants.
En premier lieu, si le rapporteur se félicite que la Commission ait choisi de remplacer la directive actuellement en vigueur par un règlement, en vue d’une meilleure harmonisation de la réglementation en matière de protection des données au sein de l’Union européenne, tout en laissant la possibilité aux Etats membres de maintenir ou d’adopter des règles spécifiques concernant la liberté d’expression, le secret professionnel, la santé, ou encore l’emploi, il déplore l’insécurité juridique résultant du fait que la proposition de règlement ne couvre pas les services répressifs.
En second lieu, concernant le champ d’application territorial du règlement, le projet de rapport insiste sur le fait que celui-ci devrait également s’appliquer, dans un souci d’application cohérente de la législation en Union européenne, aux activités de traitement liées à l’offre de biens ou de services à des personnes concernées dans l’Union, que ces biens ou services fassent l’objet d’un paiement ou non, ainsi qu’aux activités liées à l’observation du comportement de ces personnes (par exemple, traçage sur internet).
En troisième lieu, le rapporteur encourage la protection et la sauvegarde des droits fondamentaux des citoyens, et notamment :
- le recours à la pseudonymisation et à l’anonymisation ;
- le principe de consentement, meilleur moyen de permettre aux personnes concernées de contrôler les activités de traitement les concernant, le projet de rapport ajoutant alors des précisions sur ce que constitue l’expression d’un consentement dans l’environnement « en ligne » ;
- l’une information simple, compréhensible et normalisée (logos, icônes, etc.) ;
- l’une définition et d’une réglementation des activités de profilage ;
- la définition de certains termes constituant la base juridique d’un traitement, notamment la notion d’intérêt légitime du responsable du traitement ;
- le principe « clé » de limitation de la finalité.
Le rapporteur soutient également à cet effet la thèse d’un renforcement du droit d’accès (assorti d’un droit à la portabilité des données) et introduit, dans le cadre du droit à l’oubli, la notion de droit à « l’effacement numérique » (cf. déréférencement), tout en insistant sur le fait que le droit d’opposition devrait pouvoir, dans tous les cas, être exercé gratuitement et être accordé à la personne concernée en des termes clairs, simples et adéquats.
En quatrième lieu, le rapport souhaite apporter des modifications à la proposition de règlement concernant la mise en œuvre des règles en matière de protection des données dans le cadre international du marché. A cet égard, le rapporteur :
- considère que le seuil à partir duquel il est obligatoire de désigner un délégué à la protection des données ne devrait pas se fonder sur la taille de l’entreprise, mais plutôt sur l’importance du traitement des données (catégorie de données à caractère personnel, type de traitement et nombre de personnes dont les données sont traitées) ;
- salue les concepts de protection des données dès la conception (privacy by design) et par défaut (privacy by default) rappelant que si l’on veut que la protection des données dès la conception soit efficace, il faut la mettre en œuvre à toutes les phases du cycle de vie des systèmes de traitement des données. Il propose toutefois de définir de manière plus claire ces concepts ;
- suggère, dans un souci de pragmatisme, de faire passer de 24h à 72h le délai de notification d’une violation de données à caractère personnel à l’autorité de contrôle compétente ;
- propose que le critère de compétence des autorités de contrôle soit fondé sur le lieu de résidence du citoyen, ce qui permettrait d’éviter une distance excessive entre la personne concernée et l’autorité compétente ;
- propose de désigner comme point de contact unique pour les responsables de traitement et sous-traitants ayant des activités dans plusieurs Etats Membres, une autorité chef de file, qui ne disposerait pas de compétences exclusives, mais dont le rôle serait d’instruire ces situations transfrontalières au nom et pour le compte des autorités compétentes et d’assurer leur coordination avant de prendre toute décision ;
- propose un nouveau mécanisme de cohérence renforçant le rôle et les pouvoirs du Comité européen de la protection des données, notamment en lui conférant un pouvoir décisionnel sur les projets de décisions d’une autorité de contrôle, ou en le chargeant de fournir des orientations supplémentaires.
En dernier lieu, concernant plus particulièrement les flux transfrontières de données, le rapport rejette la nouvelle option prévue dans la proposition de règlement visant à permettre à la Commission européenne de reconnaître comme ayant une protection adéquate, outre des pays, des secteurs d’activité, considérant que cette possibilité serait source d’un accroissement de l’insécurité juridique. Le rapporteur énonce enfin clairement que les transferts de données vers des pays tiers devraient en toutes hypothèses être encadrés par des règles d’entreprise contraignantes ou des clauses standards de protection des données.
Ce projet de rapport doit maintenant être publié dans sa version définitive afin que les propositions qui y sont contenues puissent être étudiées par le Parlement européen et le Conseil.
(1) Projet de rapport Jan Philipp Albrecht sur proposition de règlement.