Après des mois de négociations entre les députées européens et les représentants des États membres, un accord a enfin été conclu hier pour l’adoption de la réforme de la réglementation européenne en matière de protection des données personnelles. Comme prévu, une seule législation servira à réguler le sujet au sein de l’Union européenne et devra être appliquée par tous les États membres.
Le changement est de taille puisque jusqu’à présent les règles en vigueur sur l’utilisation et la protection des données personnelles ne servaient, au fond, qu’à inspirer les législations nationales datant de plus de 20 ans. « Ce paquet de réformes mettra un terme au patchwork de règles sur la protection des données en vigueur actuellement au sein de l’Union européenne », peut-on lire dans le communiqué de la CE annonçant l’accord.
Plus de contrôle sur ses données
Ce communiqué met l’accent sur le fait que ces règles permettront aux citoyens d’avoir plus de contrôle sur leurs données personnelles. Comme prévu dès l’adoption du texte par le Parlement européen l’année dernière, les citoyens européens devront recevoir des informations plus explicites sur la manière dont leurs données sont traitées. Les procédures pour transférer leurs données entre différents systèmes devront être simplifiées (portabilité des données).
De même, tout fournisseur de services Internet et toute entreprise travaillant dans le numérique qui souhaite traiter des données à caractère personnel seraient d’abord tenus d’obtenir le consentement libre, informé et explicite de la personne concernée. L’objectif recherché affiché par l’entreprise qui traite les données ne pourra pas être modifié sans le consentement et l’offre d’une information claire à l’utilisateur.
Aussi le « droit à l’oubli » est-il confirmé, permettant l’effacement des données de chaque personne qui le demande, à condition que « soit démontré qu’il n’y a pas de raisons pour qu’elles [les données] soient conservées ».
Enfin, le principe de « privacy par défaut » (ou by design) devient un principe fondamental : tout service ou produit proposé (réseaux sociaux, applications mobiles, etc.) doit tenir compte du respect de la vie privée en amont, par défaut.
Les règles pour les entreprises non-européennes
Il est confirmé que les entreprises étrangères travaillant en Europe devront respecter la législation européenne. Il semblerait aussi, d’après les communiqués officiels de la CE, que la tâche sera simplifiée pour les entreprises travaillant dans plusieurs États membres, puisque désormais une seule autorité devrait être leur interlocuteur unique en matière de protection des données.
Aussi, en ce qui concerne les transferts de données à des pays tiers, le texte adopté par le Parlement européen prévoit que si une entreprise (par exemple un moteur de recherche, un réseau social ou un fournisseur de services informatiques « en nuage ») souhaite transférer vers son pays des données personnelles traitées au sein de l’UE, cette entreprise devra recevoir l’autorisation de l’autorité chargée de la protection des données avant de transmettre toute information personnelle. Elle devra également informer la personne concernée d’une telle demande.
Les entreprises qui violent les règles seraient soumises à des amendes allant jusqu’à 100 millions d’euros ou 5 % de leur chiffre d’affaires annuel mondial, en fonction du montant le plus élevé (d’après le texte adopté par le Parlement en 2014).
Perspectives
Cette réforme assez conséquente avait été proposée il y a quatre ans par la Commission européenne, puis adoptée par le Parlement européen en 2014. L’accord obtenu hier doit encore être officiellement adopté par le Parlement et le Conseil européen, ce qui est prévu pour le début de l’année 2016.
Les nouvelles règles pourront être appliquées seulement deux ans après cette adoption, soit au début de l’année 2018. « Durant cette phase de transition de deux ans, la Commission informera les citoyens au sujet de leurs droits et les entreprises au sujet de leurs obligations », conclut le communiqué.
Concernant le quotidien des acteurs du marketing, de la data et de la publicité en ligne, ad-exchange.fr ne manquera pas de lancer une série d’interviews dès début 2016 pour mesurer l’impact que cette future législation aura sur leurs activités, et pour découvrir les mesures qu’ils comptent mettre en place pour la respecter.
Luciana Uchôa-Lefebvre