Pour gérer vos consentements :

Tribune – Projet de règlement sur les données personnelles : le trilogue peut enfin débuter

Le 15 juin 2015, le Conseil de l’Union européenne a arrêté sa position sur le projet de règlement sur la protection des données personnelles, proposé par la Commission européenne en janvier 2012 et voté par le Parlement européen en mars 2014.

Après des modifications importantes apportées au texte de la Commission, les dispositions les plus controversées de la version du Conseil concernent le mécanisme du « guichet unique » et les principes généraux de protection des données personnelles.

Mécanisme du « guichet unique »

Présenté comme l’une des nouveautés majeures de ce projet de règlement, le mécanisme du guichet unique a été largement discuté et a évolué depuis la proposition initiale de la Commission en 2012.

La proposition de la Commission prévoyait que seule l’autorité de contrôle de l’Etat Membre du lieu du principal établissement du responsable du traitement ou du sous-traitant serait compétente pour contrôler les activités du responsable du traitement ou du sous-traitant dans tous les Etats Membres.

Dane Rimsevica, Avocat, Gide Loyrette Nouel

Après une éventuelle consultation du Comité européen de la protection des données et de la Commission européenne, les décisions prises par cette autorité compétente devaient être exécutoires dans tous les Etats Membres.

Face aux critiques relatives au possible manque de proximité entre le citoyen et l’autorité compétente, le Conseil a prévu la mise en place d’un mécanisme de coopération entre les différentes autorités des Etats Membres.

Ainsi en cas de litige transfrontalier, l’autorité du lieu du principal établissement ne serait désormais plus la seule compétente, mais deviendrait l’autorité de chef de file, ayant pour tâche la coordination de l’action entre les différentes autorités de contrôle concernées et notamment celle auprès de laquelle la plainte est déposée par un individu.

En cas de désaccord entre ces différentes autorités compétentes, la réclamation serait transférée au Comité européen de la protection des données pour décision finale.

Ce mécanisme du « guichet unique » élaboré par le Conseil est critiqué car considéré comme trop complexe.

Principes généraux de protection des données personnelles : limitation des finalités et minimisation des données

Si de façon classique les données personnelles ne peuvent être traitées que dans le cadre de finalités déterminées, le texte du Conseil introduit une disposition permettant au responsable du traitement de mettre en œuvre un traitement ultérieur des données collectées, même si la finalité de ce traitement n’est pas compatible avec celle d’origine, sous réserve que l’intérêt légitime du responsable du traitement prévale sur les intérêts de la personne concernée.

Thierry Dor, Avocat Associé, Gide Loyrette Nouel

Cette disposition est critiquée par le Groupe de travail Article 29, qui, dans son communiqué de presse du 17 mars 2015, rappelle qu’une telle disposition serait illégale au regard du cadre actuel de la protection des données personnelles et porterait gravement atteinte au principe de limitation des finalités, ainsi qu’à l’article 8.2 de la Charte des droits fondamentaux de l’Union européenne qui prévoit le « traitement des données à des fins déterminées ».

En outre, pour renforcer le principe de minimisation des données, l’article 5 du projet de règlement dans la proposition adoptée par la Commission et votée par le Parlement prévoit que le traitement des données à caractère personnel ne peut être mis en œuvre que si les finalités du traitement ne peuvent pas être atteintes par un traitement d’informations ne contenant pas de données personnelles.

En revanche le Conseil revient sur ce principe en proposant une formulation similaire aux dispositions actuelles de la Directive 95/46 CE en précisant seulement que la collecte des données ne doit pas être excessive.

La Commission a déjà exprimé des réserves sur cette modification.

Par ailleurs, dans une lettre adressée au Président de la Commission européenne le 21 avril dernier, soixante-six organisations signataires expriment leur inquiétude sur les nombreuses modifications apportées au texte de la Commission par le Conseil.

Notamment la définition du consentement, l’introduction d’une approche fondée sur l’analyse des risques pour la notification des manquements, la suppression du principe de minimisation des données, la réduction des sanctions etc.

Selon ces organisations, le texte du règlement tel que proposé par le Conseil porterait atteinte à l’établissement d’un cadre renforcé pour la protection des données personnelles et serait moins protecteur que le régime actuel.

Lors du Conseil des Ministres du 15 juin, la position du Conseil a également été confirmée sur les chapitres du projet de règlement portant sur les droits de la personne ou le montant des sanctions.

En cas de non-respect des obligations imposées par le règlement, le Parlement avait proposé des sanctions administratives allant jusqu’à 5% du chiffre d’affaires annuel mondial.

Mais le Conseil a préféré un retour à la proposition initiale de la Commission et une grille de sanctions allant de 0,5% à 2% du chiffre d’affaires annuel mondial en fonction de la gravité du manquement commis par le responsable du traitement ou le sous-traitant.

Les positions du Conseil, très en retrait du texte de la Commission et du Parlement ne vont pas faciliter le trilogue entre les institutions européennes qui devrait débuter dès le 24 juin prochain avec pour objectif un accord sur un texte définitif sous la présidence luxembourgeoise du Conseil.

Une tribune soumise à la rédaction par Thierry Dor (Avocat Associé) et Dane Rimsevica (Avocat) du cabinet Gide Loyrette Nouel

(Photo illustration : Crédit photo : Shutterstock.com – Droit d’auteur : Pressmaster)

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago