Le 15 juin 2015, le Conseil de l’Union européenne a arrêté sa position sur le projet de règlement sur la protection des données personnelles, proposé par la Commission européenne en janvier 2012 et voté par le Parlement européen en mars 2014.
Après des modifications importantes apportées au texte de la Commission, les dispositions les plus controversées de la version du Conseil concernent le mécanisme du « guichet unique » et les principes généraux de protection des données personnelles.
Présenté comme l’une des nouveautés majeures de ce projet de règlement, le mécanisme du guichet unique a été largement discuté et a évolué depuis la proposition initiale de la Commission en 2012.
La proposition de la Commission prévoyait que seule l’autorité de contrôle de l’Etat Membre du lieu du principal établissement du responsable du traitement ou du sous-traitant serait compétente pour contrôler les activités du responsable du traitement ou du sous-traitant dans tous les Etats Membres.
Après une éventuelle consultation du Comité européen de la protection des données et de la Commission européenne, les décisions prises par cette autorité compétente devaient être exécutoires dans tous les Etats Membres.
Face aux critiques relatives au possible manque de proximité entre le citoyen et l’autorité compétente, le Conseil a prévu la mise en place d’un mécanisme de coopération entre les différentes autorités des Etats Membres.
Ainsi en cas de litige transfrontalier, l’autorité du lieu du principal établissement ne serait désormais plus la seule compétente, mais deviendrait l’autorité de chef de file, ayant pour tâche la coordination de l’action entre les différentes autorités de contrôle concernées et notamment celle auprès de laquelle la plainte est déposée par un individu.
En cas de désaccord entre ces différentes autorités compétentes, la réclamation serait transférée au Comité européen de la protection des données pour décision finale.
Ce mécanisme du « guichet unique » élaboré par le Conseil est critiqué car considéré comme trop complexe.
Si de façon classique les données personnelles ne peuvent être traitées que dans le cadre de finalités déterminées, le texte du Conseil introduit une disposition permettant au responsable du traitement de mettre en œuvre un traitement ultérieur des données collectées, même si la finalité de ce traitement n’est pas compatible avec celle d’origine, sous réserve que l’intérêt légitime du responsable du traitement prévale sur les intérêts de la personne concernée.
Cette disposition est critiquée par le Groupe de travail Article 29, qui, dans son communiqué de presse du 17 mars 2015, rappelle qu’une telle disposition serait illégale au regard du cadre actuel de la protection des données personnelles et porterait gravement atteinte au principe de limitation des finalités, ainsi qu’à l’article 8.2 de la Charte des droits fondamentaux de l’Union européenne qui prévoit le « traitement des données à des fins déterminées ».
En outre, pour renforcer le principe de minimisation des données, l’article 5 du projet de règlement dans la proposition adoptée par la Commission et votée par le Parlement prévoit que le traitement des données à caractère personnel ne peut être mis en œuvre que si les finalités du traitement ne peuvent pas être atteintes par un traitement d’informations ne contenant pas de données personnelles.
En revanche le Conseil revient sur ce principe en proposant une formulation similaire aux dispositions actuelles de la Directive 95/46 CE en précisant seulement que la collecte des données ne doit pas être excessive.
La Commission a déjà exprimé des réserves sur cette modification.
Par ailleurs, dans une lettre adressée au Président de la Commission européenne le 21 avril dernier, soixante-six organisations signataires expriment leur inquiétude sur les nombreuses modifications apportées au texte de la Commission par le Conseil.
Notamment la définition du consentement, l’introduction d’une approche fondée sur l’analyse des risques pour la notification des manquements, la suppression du principe de minimisation des données, la réduction des sanctions etc.
Selon ces organisations, le texte du règlement tel que proposé par le Conseil porterait atteinte à l’établissement d’un cadre renforcé pour la protection des données personnelles et serait moins protecteur que le régime actuel.
Lors du Conseil des Ministres du 15 juin, la position du Conseil a également été confirmée sur les chapitres du projet de règlement portant sur les droits de la personne ou le montant des sanctions.
En cas de non-respect des obligations imposées par le règlement, le Parlement avait proposé des sanctions administratives allant jusqu’à 5% du chiffre d’affaires annuel mondial.
Mais le Conseil a préféré un retour à la proposition initiale de la Commission et une grille de sanctions allant de 0,5% à 2% du chiffre d’affaires annuel mondial en fonction de la gravité du manquement commis par le responsable du traitement ou le sous-traitant.
Les positions du Conseil, très en retrait du texte de la Commission et du Parlement ne vont pas faciliter le trilogue entre les institutions européennes qui devrait débuter dès le 24 juin prochain avec pour objectif un accord sur un texte définitif sous la présidence luxembourgeoise du Conseil.
Une tribune soumise à la rédaction par Thierry Dor (Avocat Associé) et Dane Rimsevica (Avocat) du cabinet Gide Loyrette Nouel
(Photo illustration : Crédit photo : Shutterstock.com – Droit d’auteur : Pressmaster)
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…
Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…