La protection des données pour la génération numérique: début du compte à rebours pour le règlement général sur la protection des données
Les nouvelles règles en matière de protection des données ayant, à présent, acquis le statut de loi, l'Union européenne doit veiller à ce qu'elles soient correctement mises en œuvre, comme l'a expliqué le contrôleur européen de la protection des données (CEPD) à la commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen, lors de la présentation de son rapport annuel 2015.
Giovanni Buttarelli, CEPD, a déclaré: «Le règlement général sur la protection des données représente l'un des plus grands accomplissements de l'UE au cours de ces dernières années et un document dont elle devrait être fière. Toutefois, notre travail n'est pas encore terminé. Nous devons veiller à ce que le règlement général sur la protection des données soit pleinement et effectivement mis en œuvre et faire en sorte de compléter ce texte avec des accords tout aussi effectifs sur le règlement 45/2001 et la directive «vie privée et communications électroniques». Ces mesures sont nécessaires pour permettre à l'Union européenne de tenir sa promesse de garantir une protection efficace des données à l'ère numérique.»
En 2015, le CEPD a déployé des efforts considérables pour favoriser l'adoption de nouvelles règles efficaces en matière de protection des données, en offrant aux législateurs des recommandations détaillées sous la forme d'une application. Il se préoccupe maintenant de la bonne mise en œuvre de ces règles et de la réforme du règlement 45/2001, qui s'appliquera au travail du CEPD et des autres institutions et organes de l'UE.
Wojciech Wiewiórowski, contrôleur adjoint à la protection des données, a déclaré: «Les institutions de l'UE doivent donner l'exemple. Au cours des deux prochaines années, le CEPD continuera à coopérer étroitement avec les délégués à la protection des données de l'ensemble des institutions et organes de l'UE et à leur offrir son aide et ses conseils, alors qu'ils se préparent aux changements qui entreront en vigueur en mai 2018.»
Nous avons déjà commencé à travailler sur ce thème. Le CEPD prévoit, par exemple, d'élaborer une boîte à outils sur la nécessité, qui est un concept clé de la nouvelle réforme. Cette boîte à outils aura pour but de mieux équiper les législateurs de l'UE chargés de préparer et d'examiner les mesures impliquant le traitement de données à caractère personnel et susceptibles d'interférer avec le droit à la vie privée, la protection des données et d'autres droits et libertés énoncés dans la Charte des droits fondamentaux de l'Union européenne.
Le CEPD continuera également à collaborer avec les autres autorités de l'UE chargées de la protection des données au sein du groupe de travail «article 29» (GT art. 29) en vue de se préparer pour le comité européen de la protection des données. Ce comité, qui remplacera le GT art. 29, est un élément crucial de la réforme et doit être parfaitement fonctionnel dès le premier jour.
Le CEPD a lancé plusieurs nouvelles initiatives en 2015, notamment dans les domaines de l'éthique des données et des mégadonnées. Il a également travaillé en étroite collaboration avec le GT art. 29 pour analyser les conséquences de l'arrêt de la Cour de justice de l'Union européenne sur la sphère de sécurité et conseiller la Commission sur les autres solutions possibles. Ces initiatives, ainsi que d'autres, se poursuivront en 2016 et au-delà afin de garantir que l'UE reste à la pointe en matière de politique de protection des données et de respect de la vie privée au cours des prochaines années.
Informations complémentaires
Le respect de la vie privée et la protection des données sont des droits fondamentaux dans l’UE. La protection des données est un droit fondamental, protégé par la législation de l’UE et consacré par l’article 8 de la Charte des droits fondamentaux de l’Union européenne.
Plus spécifiquement, les règles relatives à la protection des données dans les institutions européennes, tout comme les obligations du contrôleur européen de la protection des données (CEPD), sont énoncées dans le règlement (CE) nº 45/2001. Le CEPD est une autorité de contrôle indépendante relativement nouvelle, mais de plus en plus influente, qui est chargée de contrôler le traitement des données à caractère personnel par les institutions et organes de l’UE, de fournir des conseils sur les politiques et la législation qui ont une influence sur la vie privée et de coopérer avec des autorités similaires afin de garantir une protection cohérente des données.
Giovanni Buttarelli (CEPD) et Wojciech Wiewiórowski (contrôleur adjoint) sont membres de l’institution et ont été nommés par une décision conjointe du Parlement européen et du Conseil. Ils sont entrés en fonction le 4 décembre 2014, pour un mandat de cinq ans.
Stratégie du CEPD pour la période 2015-2019: dévoilé le 2 mars 2015, le plan pour la période 2015-2019 résume les principaux défis à relever en matière de protection des données et de la vie privée pendant les prochaines années; trois objectifs stratégiques et dix actions connexes en vue de relever ces défis; la façon dont la stratégie peut être mise en œuvre par la gestion efficace des ressources, la communication claire et l’évaluation de nos performances.
Informations ou données à caractère personnel: toute information concernant une personne physique (vivante) identifiée ou identifiable. À titre d’exemples: noms, dates de naissance, photographies, séquences vidéo, adresses électroniques et numéros de téléphone. D’autres informations telles que des adresses IP et le contenu de communications se rapportant à des utilisateurs finaux de services de communication ou fournies par ces derniers sont également considérées comme des données à caractère personnel.
Respect de la vie privée: droit reconnu à une personne d'être laissée tranquille et de contrôler les informations la concernant. Le droit au respect de la vie privée est inscrit dans la Déclaration universelle des droits de l'homme (article 12), dans la Convention européenne des droits de l'homme (article 8) et dans la Charte des droits fondamentaux de l'Union européenne (article 7). La Charte contient également un droit explicite à la protection des données à caractère personnel (article 8).
Traitement des données à caractère personnel: aux termes de l’article 2, point b), du règlement (CE) n° 45/2001, on entend par «traitement de données à caractère personnel» toute opération ou ensemble d’opérations effectuée(s) ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.» Voir le glossaire figurant sur le site internet du CEPD.
Gros volumes de données: Volumes gigantesques de données détenus par des entreprises, des gouvernements et d'autres grandes organisations, qui sont ensuite analysées de façon approfondie en utilisant des algorithmes. Voir aussi l'avis 3/2013 du groupe de travail «article 29» sur la limitation des finalités, p. 35.
Paquet sur la réforme de la protection des données dans l'UE:
Le 25 janvier 2012, la Commission européenne a adopté son paquet de réformes, qui comprend deux propositions législatives:
- un règlement général sur la protection des données, adopté le 24 mai 2016, qui sera applicable à partir du 25 mai 2018; et
- une directive spécifique relative à la protection des données en matière policière et judiciaire, adoptée le 5 mai 2016, qui sera applicable à partir du 6 mai 2018.
Les textes officiels du règlement et de la directive ont, à présent, acquis le statut de lois dans l'ensemble de l'Union européenne (UE). Les États membres disposent de deux ans pour les rendre pleinement applicables sur leur territoire d'ici mai 2018.