Le paquet données personnelles (projet de règlement et de directive) a été adopté hier par la commission des libertés civiles du Parlement européen à la quasi unanimité. Ce texte, qui reprend un certain nombre de propositions de la commissaire Viviane Reding pour renforcer le contrôle sur les flux de données personnelles, a été accepté par une majorité de députés.
Ce n'est donc pas une adoption définitive, puisque le Parlement européen devra voter en assemblée plénière, à Strasbourg, sur le texte. Mais loin d'être acquis il y a quelques mois, le paquet données personnelles est finalement en bonne voie grâce à un vote sans ambiguïté de la commission des libertés civiles.
Que dit le paquet données personnelles ?
Dans un communiqué publié hier par le Parlement européen, les propositions finalement retenues sont encourageantes. Ce n'était pas gagné d'avance, la campagne de lobbying autour de ce texte ayant été l'une des plus fortes connues de mémoire de député européen, comme le racontait en juin dernier Le Monde.
Plusieurs dispositions, qui renforcent la position initiale de Viviane Reding, la commissaire notamment en charge de la société de l'information, ont donc été validées au final :
- Si un pays hors de l'Union européenne réclame à une entreprise des informations personnelles traitées au sein de l'UE, "l'entreprise devra obtenir l'autorisation de l'autorité de protection des données personnelles nationale avant de transférer la moindre donnée". La CNIL, ou ses équivalents des autres Etats membres - avec qui elle travaille au sein du groupe G29 - auront donc droit de vie et de mort sur les demandes de transfert de données privées hors de l'Union. La personne visée par cette demande devra également être informée.
- Les entreprises qui enfreindraient ces règles feraient face à des poursuites, et à une amende éventuelle pouvant aller jusqu'à 100 millions d'euros ou jusqu'à 5% de leur chiffre d'affaires annuel. Le plus élevé des deux chiffres serait retenu.
- Une sorte de droit à l'oubli serait créé, qui permettrait à toute personne citoyenne d'un Etat membre de l'Union de demander à une entité contrôlant des données personnelles la suppression complète de ses données, sur les serveurs de l'entreprise comme chez des tiers éventuels. Le "droit à l'oubli", proposé par la Commission, a ainsi fait place à un "droit à la suppression".
- Le principe de l'opt-in est généralisé. Déjà présent en France, il sera renforcé car étendu à toutes les entreprises opérant au sein de l'Union européenne. Si elles veulent traiter des données personnelles, elles devront le faire avec l'accord explicite des utilisateurs. Et offrir la possibilité de révoquer cet accord à tout moment.
- Le profilage destiné à prévoir la performance au travail, la situation économique, la localisation, la santé ou le comportement d'une personne serait limité. Il nécessiterait l'assentiment de la personne visée, ou être justifié par les besoins d'un contrat. Par ailleurs, il ne pourrait servir de base à une quelconque discrimination.