Après deux ans de discussions, 4000 amendements épluchés, la proposition de règlement européen sur la protection des données personnelles a finalement été votée par la commission parlementaire LIBE le 21 octobre dernier. Le texte, bien que non définitif, renforce la protection des consommateurs au détriment des entreprises.
De lourdes charges en perspective pour les entreprises
Tout d’abord, affaire Prism oblige, la règlementation du transfert des données hors UE est accrue : si le texte est voté en l’état, lorsqu’une entreprise de l’Union recevra une demande de transfert de données de la part d’un pays tiers, elle devra préalablement obtenir l’autorisation du Contrôleur européen de la protection des données et informer la personne concernée.
Ensuite, si le droit à l’oubli n’apparait plus, il est remplacé par le droit à l’effacement selon lequel l’entreprise devrait envoyer la demande aux autres entreprises qui auraient postérieurement reçu les données.
Enfin et surtout, la Commission LIBE a prévu un durcissement des sanctions : les députés ont augmenté la sanction à 100 millions d’euros et 5% du chiffre d’affaires, alors que le texte prévoyait à l’origine des amendes graduées selon la gravité et allant de 0,5% à 2% du chiffre d’affaires pour les entreprises et de 250.000 € à 1 million d’euros maximum pour les responsables de traitement, personnes physiques (articles 79-4 et 79-5) !
Ces dispositions constituent donc des obstacles pour exploiter le potentiel de l’économie des données et risqueront d’impacter de façon négative l’innovation et la croissance.
Des propos à nuancer
Si ces mesures sont de nature à alourdir les charges administratives, techniques et financières des entreprises, elles sont à tempérer.
D’une part, une entreprise pourra toujours invoquer l’intérêt légitime qu’elle poursuit pour justifier de la finalité de son traitement. Le texte voté reconnait également aux entreprises le droit d’utiliser les « données pseudonymes » sans le consentement explicite de leur propriétaire, même si l’utilisation doit être « raisonnable ». Il s’agit de celles qui ne permettent pas d’identifier une personne sans que des éléments stockés à part soit ajoutés. Elles se situent entre les données personnelles qui permettent de désigner immédiatement quelqu’un et, à l’inverse, les données anonymes.
D’autre part, le Conseil européen a indiqué, les 24 et 25 octobre derniers, que l’adoption de ce cadre légal devrait intervenir d’ici 2015, donc après les élections européennes. Le texte doit en effet être négocié avec les Etats membres dont les positions divergent. Seul le résultat des discussions entre le Parlement, les Etats et la Commission seront soumis au vote des députés. Encore quelques mois à attendre…
Jeu de briques
Snake
Pacman
Bubble