Focus sur le nouveau règlement européen sur la protection des données personnelles

Le 4 mai 2016 le nouveau règlement européen sur la protection des données personnelles paraissait au Journal officiel de l’Union européenne, marquant la fin de près de quatre années de discussion.

Le texte adopté abroge la directive de 1995. Il prévoit de nouvelles règles, notamment : « le droit à l’oubli; le consentement clair et explicite de la personne concernée quant à l’utilisation de ses données personnelles; le droit de transférer ses données vers un autre fournisseur de services; le droit d’être informé en cas de piratage des données; la garantie que les politiques relatives à la vie privée soient expliquées dans un langage clair et compréhensible; et une mise en œuvre plus stricte et des amendes allant jusqu’à 4% du chiffre d’affaires mondial total d’une entreprise, dans le but de décourager la violation des règles  (communiqué du 14/04/2016).

Contrairement donc à une directive, un règlement est directement applicable dans l’ensemble de l’Union. Le règlement prévoit que les traitements déjà en cours à la date d’application du règlement devraient être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur, soit à partir du 25 mai 2018.

La loi n°2016-1321 du 7 octobre 2016 pour une République numérique a d’ores et déjà introduit certaines de ces dispositions en droit interne, notamment le droit à l’oubli, le droit de récupérer ses informations, l’exigence d’un consentement clair et explicite (voir les articles 48 et s., notamment 68 : par exemple, la loi du 7 octobre 2016 prévoit qu’est interdit le traitement automatisé d’analyse, à des fins publicitaires, statistiques ou d’amélioration du service apporté à l’utilisateur, du contenu de la correspondance en ligne, de l’identité des correspondants ainsi que, le cas échéant, de l’intitulé ou des documents joints, sauf si le consentement exprès de l’utilisateur est recueilli à une périodicité fixée par voie réglementaire, qui ne peut être supérieure à un an).

La loi du 7 octobre prévoit que le Gouvernement doit remettre au Parlement, avant le 30 juin 2017, un rapport sur les modifications à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés rendues nécessaires par l’entrée en vigueur du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE.

Afin de faciliter la mise en conformité des traitements de données en cours, la CNIL a mis en ligne un dossier complet sur les nouveautés du règlement européen.

Bruno CARBONNIER
Avocat