La Commission européenne vient de publier ses orientations stratégiques concernant la révision de la Directive 95/46/CE sur la protection des données personnelles. Ce texte reprend plusieurs points déjà évoqués publiquement par Viviane Reding, commissaire européenne chargée de la justice, des droits fondamentaux et de la citoyenneté.
Modernisation de la Directive 95/46/CE
L’actuelle directive de l’UE doit être mise à jour pour tenir compte de l’évolution technologique rapide et de la mondialisation, qui ont modifiées en profondeur notre environnement et nous posent de nouveaux défis en matière de protection des données à caractère personnel.
Le processus de révision a été lancé en 2009. Les résultats obtenus lors de la consultation publique clôturée fin 2009 et de plusieurs études montrent que les principes fondateurs de la directive de 1995 restent pertinents, mais qu’elle nécessite une refonte. Elle a été élaborée avant la démocratisation d’Internet, le développement des réseaux sociaux, l’apparition de nouvelles technologies comme la géolocalisation ou les puces RFID, la vidéosurveillance, le Cloud Computing et la publicité comportementale en ligne.
Objectifs pour parvenir à une amélioration de la protection des données personnelles et leur contrôle par les citoyens
La Commission européenne a mis en avant quelques pistes de réflexion destinées à améliorer et moderniser la législation actuelle, à savoir :
Le renforcement des droits des individus
La Commission européenne souhaite que la collecte et le traitement des données soient limités à des finalités bien précises et au minimum requis (principe de la minimisation des données). Les responsables de traitement doivent informer les personnes concernées correctement et clairement, en toute transparence, afin qu’elles sachent qui recueillera et traitera leurs données, selon quelles modalités, pour quels motifs et pendant combien de temps. Ils doivent également veiller à ce que les citoyens connaissent leurs droits en ce qui concerne l’accès à leurs données, leur rectification ou leur suppression.
Une autre mesure visant une responsabilisation accrue des responsables de traitement est l'instauration d'une notification obligatoire des violations aux traitements de données.
Lors d’une session de navigation sur Internet, les utilisateurs devraient être en mesure de donner leur « consentement éclairé » au traitement des données les concernant et de bénéficier du « droit à l’oubli » lorsque ces informations ne sont plus nécessaires ou qu’ils en demandent la suppression. Dans ce contexte, la Commission étudiera les moyens permettant d’améliorer les modalités d’un véritable exercice des droits d’accès, de rectification et de suppression.
Le renforcement de la dimension « marché unique »
La Commission étudiera par ailleurs les moyens de pousser plus loin l’harmonisation des règles de protection des données au niveau de l’UE. Les disparités qui caractérisent actuellement la mise en oeuvre des règles européennes relatives à la protection des données et le défaut de clarté quant au pays dont les règles s’appliquent entravent la liberté de circulation des données à caractère personnel entre les États membres au sein du marché intérieur et majorent les coûts. La simplification de ce système permettrait de réduire considérablement la charge administrative.
À ceci s’ajoutent les efforts de la Commission européenne de responsabiliser davantage les responsables du traitement afin qu’ils mettent en place des politiques et mécanismes efficaces pour assurer le respect des règles en matière de protection des données. À cet égard, la promotion de l’utilisation des technologies d’amélioration de la confidentialité (« PET : Privacy Enhacing Technologies »), ainsi que la prise en compte du principe du respect de la vie privée dès la conception (« Privacy by design ») pourraient jouer un rôle important.
La révision des règles relatives à la protection des données dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale
Le traité de Lisbonne permet désormais à l’Union européenne de définir les règles en matière de protection des données, applicables à tous les domaines d’action, dont la coopération policière et judiciaire en matière pénale.
Le réexamen de la directive a montré que la conservation des données à des fins répressives devrait aussi relever du nouveau cadre légal. C’est pourquoi la Commission revoit aussi la directive de 2006 sur la conservation des données qui impose aux sociétés de stocker les données relatives au trafic de télécommunication pour une durée comprise entre six mois et deux ans.
L’amélioration des procédures applicables aux transferts internationaux de données
Dans le cadre de données transférées en dehors de l’UE, la Commission veut améliorer et rationaliser les procédures actuelles, y compris les instruments juridiquement contraignants et les « règles d’entreprise contraignantes » (« BCR : Binding Corporate Rules »), afin de parvenir à une approche de l’UE plus uniforme et cohérente à l’égard des pays tiers et des organisations internationales.
Un contrôle plus effectif de l’application des règles
Enfin, la Commission européenne a annoncé un contrôle plus effectif de l’application des règles en renforçant et en harmonisant davantage le rôle et les pouvoirs des autorités chargées de la protection des données comme la CNPD et du groupe de travail européen « Article 29 ».
Consultation publique sur l’ « avenir de la vie privée »
Le projet de réexamen fait l’objet d’une consultation publique dans laquelle la Commission européenne invite les citoyens, organisations et autorités publiques à commenter ce document stratégique et à apporter leurs contributions jusqu’au 15 janvier 2011.
Sur cette base, la Commission européenne présentera en 2011, un nouveau cadre général régissant la protection des données, que le Parlement européen et le Conseil devront ensuite négocier et adopter.