Le 14 avril 2016, le Parlement européen a adopté le Paquet sur la protection des données personnelles, qui avait fait l’objet d’un accord trouvé entre le Conseil et le Parlement européen sous présidence luxembourgeoise du Conseil de l’UE, le 18 décembre 2015. Ce vote met fin à un long parcours législatif initié le 25 janvier 2012 avec la présentation de la réforme par la Commission.

Le paquet est constitué d’un règlement général, qui s'applique aux entreprises privées et publiques, et d’une directive sur le traitement des données dans le milieu policier et judiciaire. La commission des libertés civiles (LIBE) du Parlement européen l’avait adopté deux jours plus tôt, après un premier feu vert en décembre dernier. Le règlement général avait été adopté par 50 voix pour, 3 contre et une abstention, tandis que la directive avait été validée par 45 voix contre 4 et 1 abstention.

L’adoption préalable de ce paquet était la condition pour que les députés adoptent également la directive PNR. La vice-présidente du Parlement européen, Sylvie Guillaume (S&D), l’avait fait savoir aux Etats membres lors du Conseil JAI du 24 mars 2016. Il fallait pour cela que le Conseil adopte définitivement sa position, ce qui fut fait le 8 avril 2016.

Des commentaires politiques satisfaits : "Un jour historique pour l'Europe", selon Viviane Reding

Lors des débats dans l’hémicycle strasbourgeois à la veille du vote, le Paquet Protection des données n’a pas fait l’objet de discussions polémiques comme ce fut le cas pour la directive PNR, débattue et votée en même temps. C’est "un des plus gros morceaux de législation jamais adopté par le Parlement européen, c’est historique", avait notamment déclaré l’eurodéputé socialiste, Claude Moraes. L’eurodéputée ADLE, Sophie In’t Velde, avait dit la fierté qu’il y avait lieu de ressentir du fait que l’UE met ainsi en place des standards mondiaux les plus élevés.

Jan Philipp Albrecht (Verts/ALE), en charge de la législation au Parlement, a jugé qu’il s’agissait "d'une victoire pour le Parlement et d'un 'oui' européen fier aux droits très forts des consommateurs et à la concurrence à l'ère numérique." "Les citoyens pourront décider eux-mêmes des informations personnelles qu'ils souhaitent partager", s’est-il réjoui. Les entreprises gagneront en sécurité juridique grâce à une législation unique dans l'UE. "La nouvelle loi renforcera la confiance et la clarté juridique et garantira une concurrence plus loyale", a-t-il ajouté.

Au sujet de la directive, "le principal problème concernant les attentats terroristes et d'autres crimes transnationaux est que les autorités répressives des États membres sont réticentes à échanger des informations précieuses", a affirmé Marju Lauristin (S&D), députée en charge de ce volet du Paquet au Parlement. "En fixant des normes européennes sur l'échange d'informations entre les autorités répressives, la directive sur la protection des données deviendra un instrument puissant et utile pour aider les autorités à transférer facilement et efficacement des données à caractère personnel tout en respectant le droit fondamental à la vie privée", a-t-elle conclu.

Elle a souligné pendant les débats que la directive constituait le premier acte régulateur qui donne des règles communes aux polices des Etats membres, rendant par exemple impossible la rétention de données pour une période illimitée ou indéfinie,  et qu’elle permettrait de faciliter le travail policier qui comprend toujours plus d’aspects internationaux, sans oublier les droits des citoyens.

L’eurodéputée luxembourgeoise Viviane Reding et ancienne commissaire européenne en charge de la Justice, des Droits Fondamentaux et de la Citoyenneté, a salué l'adoption de la réforme de nos règles européennes en matière de protection des données personnelles, qu'elle a initiée en janvier 2012. "C'est un jour historique pour l'Europe. Cette réforme s'inscrit dans notre histoire commune autant que dans le futur de notre continent. Cette réforme offre de nouvelles opportunités aux entreprises et de nouveaux droits aux citoyens", a-t-elle dit dans un communiqué. "En rétablissant la confiance dans l'économie numérique, cette réforme contribuera demain à relancer le moteur de notre croissance. C'est une des réformes dont je suis le plus fière, je me suis battue sans relâche pour qu'elle voit le jour. C'est la pierre angulaire d'un marché numérique véritablement unique."

"Face à la dimension internationale des enjeux du numérique et de la lutte anti-terroriste, l'Europe est la seule solution à nos problèmes. En assurant l'équilibre nécessaire entre droits individuels et intérêt public, l'Union Européenne montre l'exemple au monde entier", a ajouté Viviane Reding, en pensant également à la directive PNR.

Dans une déclaration commune, le Vice-président de la Commission, Frans Timmermans, le Vice-Président en charge du marché numérique unique, Andrus Ansip, et la Commissaire en charge de la Justice, Věra Jourová ont salué "une importante réalisation, et le point culminant de quatre années de dur travail". Avec ce Paquet, "le droit fondamental à la protection des données personnelles est garanti pour chacun", tandis que le marché unique numérique de l’UE sortira stimulé par le renforcement de la confiance des consommateurs dans les services en ligne et la sécurité juridique apportée aux entreprises.

Quant à la directive elle assure un haut niveau de protection tout en renforçant la lutte contre le terrorisme et autres crimes. "Ces règles sont au bénéfice de tous dans l’UE. Les citoyens doivent avoir plus de pouvoir : ils doivent être informés ce que sont leurs droits, et de la manière dont ils peuvent les défendre s’ils ont l’impression qu’ils ne sont pas respectés", ont déclaré les trois commissaires.

Des acteurs économiques sceptiques

"Alors que nous continuons à considérer que le texte final n’apporte pas le bon équilibre entre la protection des droits fondamentaux des citoyens au respect de leur vie privée et la capacité des entreprises en Europe à devenir plus compétitive, il est désormais temps d’être pragmatique", a déclaré le directeur général de DIGITALEUROPE, John Higgins, représentant d’entreprises du secteur numérique. Il demande à ce que les responsables de la mise en œuvre mettent en place une procédure de consultation de toutes les parties prenantes dont l’industrie. "Si l’Europe rate la mise en œuvre en bonne et due forme du paquet dans les 28 Etats membres, cela pourrait rendre incomplet le marché numérique unique", a-t-il déclaré

S’il déplore comme DIGITALEUROPE un déséquilibre qui défavorise les entreprises, BUSINESSEUROPE est plus sceptique sur l’intérêt du Paquet Protection des données. Les nouvelles règles vont "augmenter le fardeau administratif", ce qui "pourrait avoir un impact négatif sur l’innovation et la compétitivité européennes". De même, les nouvelles règles laisseraient trop de marge de manœuvre aux Etats membres et autorités de protection des données pour appliquer des règles différents dans les différents Etats membres, ce qui pourrait fragmenter le marché. "Nous avons besoin d’une mise en œuvre cohérente du règlement pour assurer l’harmonisation future."

Les textes adoptés

Les nouvelles règles de protection des données personnelles, devraient être pleinement en application en 2018.

Règlement général sur la protection des données

Le règlement général sur la protection des données vise à renforcer le niveau de protection des données pour les personnes physiques dont les données à caractère personnel sont traitées et à accroître les débouchés commerciaux dans le marché unique numérique, notamment grâce à une réduction des charges administratives. 

Les principes et règles en matière de traitement des données à caractère personnel des personnes physiques doivent respecter les droits et libertés fondamentaux, notamment le droit à la protection des données à caractère personnel. Ce renforcement des droits en matière de protection des données permet aux personnes concernées (les personnes physiques dont les données à caractère personnel sont traitées) de mieux contrôler leurs données à caractère personnel, grâce à: 

• des règles plus précises pour autoriser les responsables du traitement des données à traiter des données à caractère personnel, avec notamment l'obligation d'obtenir le consentement des personnes physiques concernées;
• un accès plus aisé aux données à caractère personnel les concernant;
• une meilleure information sur ce qu'il advient des données à caractère personnel dès qu'elles sont partagées. Les personnes physiques doivent notamment être informées de la politique en vigueur en matière de protection des données, en termes clairs et simples; cela peut également se faire au moyen d'icônes normalisées;
• un droit à l'effacement des données à caractère personnel et "à l'oubli". Cela permet ainsi, par exemple, à une personne concernée d'exiger le retrait immédiat de données à caractère personnel collectées ou publiées sur un réseau social alors qu'elle n'était encore qu'un enfant;
• si un jeune de moins de 16 ans souhaite utiliser des services en ligne, le fournisseur de services doit vérifier que les parents ont donné leur accord. Les États membres peuvent abaisser cette limite d'âge sans toutefois descendre en dessous de 13 ans;
• un droit à la portabilité, facilitant le transfert de données à caractère personnel d'un fournisseur de services, par exemple un réseau social, à un autre. Ces mesures ne vont pas seulement renforcer les droits en matière de protection des données, elles vont aussi stimuler la concurrence entre les fournisseurs de services;
• un droit de s'opposer au traitement de données à caractère personnel en lien avec l'intérêt public ou les intérêts légitimes d'un responsable du traitement. Ce droit s'étend à l'utilisation de données à caractère personnel à des fins de profilage;
• des garanties communes couvrant le traitement de données à caractère personnel à des fins d'archivage dans l'intérêt public et à des fins scientifiques, statistiques ou de recherches historiques.

Afin de leur assurer une proximité d'accès aux voies de recours, les personnes concernées ont le droit de soumettre toute décision de leur autorité chargée de la protection des données au contrôle de leur juridiction nationale, quel que soit l'État membre dans lequel le responsable du traitement est établi. 

Des débouchés commerciaux accrus dans le marché unique numérique

Le règlement prévoit un ensemble unique de règles, valables dans toute l'UE et applicables aux entreprises européennes et non européennes proposant des services en ligne dans l'UE. Cela permet d'éviter des situations dans lesquelles des règles nationales divergentes en matière de protection de données pourraient entraver les échanges transfrontières de données. Le règlement prévoit aussi un renforcement de la coopération entre les États membres pour que les règles en matière de protection des données soient appliquées de manière cohérente dans toute l'UE. Cela créera une concurrence loyale et encouragera les entreprises, notamment les petites et moyennes, à tirer le meilleur parti du marché unique numérique. 

Afin de réduire les coûts et d'offrir une sécurité juridique, dans des affaires transfrontières importantes faisant intervenir plusieurs autorités de contrôle nationales, une décision de contrôle unique sera prise. Ce mécanisme de guichet unique permet à une entreprise active dans plusieurs États membres de ne traiter qu'avec l'autorité de protection des données de l'État membre dans lequel elle a son établissement principal. Ce mécanisme prévoit aussi une décision unique applicable à l'ensemble du territoire de l'UE en cas de litige. 

En vue de réduire les coûts administratifs, le règlement applique une approche fondée sur le risque: les responsables du traitement des données peuvent mettre en œuvre des mesures en fonction du risque associé aux opérations de traitement qu'ils effectuent. Les entreprises sont différentes, les activités sont différentes; dès lors, les risques que ces activités font peser sur la vie privée peuvent varier. Le règlement ne prévoit pas de solution unique: plus les risques résultant des activités sont importants pour les données à caractère personnel, plus les obligations sont strictes. 

Des outils plus nombreux et de meilleure qualité pour faire appliquer les règles en matière de protection des données

Le règlement prévoit une série de mesures pour renforcer la responsabilité des responsables du traitement et l'obligation de rendre des comptes qui leur incombe, l'objectif étant d'assurer un respect absolu des nouvelles règles en matière de protection des données. Les responsables du traitement doivent mettre en œuvre un certain nombre de mesures de sécurité, avec l'obligation dans certains cas de notifier les violations de données à caractère personnel. Pour veiller à ce que le règlement soit à l'épreuve du temps, les principes de la protection des données dès la conception et de la protection des données par défaut sont introduits. Les autorités publiques et les entreprises qui effectuent certains traitements de données à risques doivent désigner un délégué à la protection des données pour garantir le respect des règles. 

Les personnes concernées ainsi que, dans certaines conditions, les organismes de protection des données peuvent introduire une réclamation auprès d'une autorité de contrôle ou former un recours juridictionnel dans les cas où les règles en matière de protection des données ne sont pas respectées. Les responsables d'un traitement peuvent s'exposer à des amendes d'un montant maximal de 20 millions d'euros ou correspondant à 4 % de leur chiffre d'affaires annuel mondial. 

Garanties concernant les transferts de données à caractère personnel en dehors de l'UE

Le règlement fixe les règles de transfert de données à caractère personnel vers les pays tiers et les organisations internationales. Des transferts peuvent intervenir à condition que différentes conditions et garanties soient respectées, en particulier lorsque la Commission a décidé qu'un niveau adéquat de protection existe. Les nouvelles décisions relatives à l'adéquation du niveau de protection des données devront être revues au moins tous les quatre ans. Les décisions relatives à l'adéquation et les autorisations existantes resteront en vigueur jusqu'au moment où elles seront modifiées, remplacées ou abrogées.   

Directive sur la protection des données traitées à des fins répressives

Cette directive vise à protéger les données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d'enquêtes ou de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. 

Il est indispensable de garantir un niveau élevé et systématique de protection des données à caractère personnel des personnes physiques tout en facilitant en parallèle l'échange de ces données entre les services répressifs des différents États membres. 

Champ d'application élargi

Outre les activités menées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, le champ d'application de la nouvelle directive a été étendu à la protection contre les menaces pour la sécurité publique et à la prévention de telles menaces. 

La nouvelle directive s'appliquerait aussi bien au traitement transfrontière des données à caractère personnel qu'au traitement de ce type de données par les autorités policières et judiciaires au niveau strictement national. La décision-cadre, qui sera remplacée, ne portait que sur l'échange transfrontière de données. 

Droits des personnes concernées

Les règles instaurent un équilibre entre le droit à la protection de la vie privée et la nécessité que la police ne soit pas tenue de révéler dès le début d'une enquête que des données sont traitées. Cela étant, le texte énumère les informations que la personne concernée est toujours en droit de recevoir afin de protéger ses droits si elle craint que ses données aient fait l'objet d'une violation. 

Les nouvelles règles couvriront aussi le transfert de données à caractère personnel vers des pays tiers et des organisations internationales. 

Respect des dispositions

La nouvelle directive prévoit qu'un délégué à la protection des données soit nommé pour aider les autorités compétentes à faire respecter les règles en matière de protection des données. 

L'analyse d'impact constitue un autre outil permettant d'assurer le respect des dispositions. Lorsqu'un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques, les autorités compétentes doivent procéder à une analyse de l'impact potentiel dudit traitement, en particulier en cas de recours à une nouvelle technologie. 

Contrôle et compensation

Le texte de la directive est aligné sur celui du règlement pour que, dans les grandes lignes, les mêmes principes généraux s'appliquent. Par ailleurs, les règles relatives à l'autorité de contrôle sont dans une large mesure similaires car l'autorité de contrôle instituée dans le règlement général sur la protection des données peut aussi se saisir de matières relevant de la directive. La nouvelle directive donnerait également le droit aux personnes concernées d'obtenir une compensation si elles subissent un préjudice du fait d'un traitement ne respectant pas les règles.