[mis à jour le 8 juin 2016] Depuis la Directive 95/46 du 6 octobre 1995, 500 millions d’européens bénéficient d’une véritable protection de leurs données personnelles. Aucune autre zone géographique de la planète Terre ne peut rivaliser avec les droits octroyés aux européens pour protéger leur vie privée numérique et encadrer le « business » de la collecte et du traitement des données qui permettent d’identifier, directement ou indirectement, des personnes physiques.

Mais en 20 ans, que de chemin parcouru avec la généralisation de l’Internet et des téléphones portables…

Sont apparus Google (1998) et Facebook (2008). Microsoft et Apple se sont transformés. On a commencé à parler de Big Data, de data lake et de publicité personnalisée.

Et puis, il y a eu les révélations d’Edward Snowden sur l’ampleur du programme de collecte de données par les agences de renseignement des Etats-Unis.

Et puis il y a eu l’annulation du Safe Harbor le 6 octobre 2015 qui continue de perturber juridiquement les transferts de données depuis l’UE vers l’Oncle Sam. Aujourd’hui, le Privacy Shield, destiné à le remplacer, est en cours de finalisation, au grand dam des autorités de contrôle de l’Union Européenne (voir la presse de ce 14 avril 2016).

ENFIN !!! Le « paquet data protection » incluant le Règlement 2016 / 679 du 27 avril 2016 a été publié au JO de l’Union le 4 mai 2016. Le même jour, ont également été publiés l’accord dit « PNR » (Passager Name Record) ainsi que la Directive n°2016/680 « prévention et détection des infractions pénales ».

Une remise à plat du droit européen sur la protection des données personnelles

Oui, il était temps d’envisager une remise à plat de notre droit européen sur la protection et le commerce des données personnelles.

C’est chose faite avec le Règlement 2016 / 679 sur la protection des données personnelles adopté le 27 avril 2016 et publié au JO de l’Union Européenne le 4 mai 2016.

Le texte est très, très dense et long… Plus de 200 pages, alors que la directive 95/46 n’en comptait qu’une quarantaine.

Dans un premier volet de notre étude du Règlement « Data Protection », nous vous proposons (déjà)  de parcourir les droits et obligations des entreprises « responsables de traitements » qui collectent et traitent des données personnelles sur le territoire de l’UE.

Le second volet traitera du régime particulier applicable aux « sous-traitants » qui se voient imposer de nombreuses obligations spécifiques, parfois assez proches de celles applicables aux « responsables de traitements ».

Nous poursuivrons dans un troisième volet par l’analyse détaillée des droits des « personnes concernées » (celles dont les données sont collectées et traitées), notamment le détail de la notion de « consentement » et des différents droits offerts aux résidents de l’UE et aux personnes hors UE dont les données sont collectées/traitées par un prestataire situé sur le territoire de l’UE.

Quatrième volet, l’analyse des mécanismes juridiques de transferts hors UE des données des européens, dont l’actualité a mis en évidence depuis l’annulation du Safe Harbor le caractère essentiel pour la protection effective des droits des citoyens de l’Union. A cet égard, la presse en ligne s’est faite l’échos le 27 mai 2016 d’une nouvelle saisine par l’Ireland de la CJUE pour (in)validation du mécanisme de transfert des données personnelles vers les USA via… les clauses contractuelles types. Mon (excellent) Confrère qui commente cette nouvelle annonce déjà la seconde mort du Safe Harbor. Une analyse détaillée du texte du Règlement 679 ne sera pas inutile…

Le cinquième volet – le dernier (promis) – nous amènera à analyser les missions et les obligations des « Data Protection Officer » plus connus dans la langue de Molière sous le doux surnom de « Correspondants Informatique et Libertés » (ou C.I.L.).

Une réforme ambitieuse pour la protection des donnés personnelles

Attention, ce projet de Règlement UE sera d’application directe, à l’identique, dans les 28 pays membres de l’UE. Pas de loi nationale de transposition. Ce Règlement s’appliquera d’un coup et « écrasera » les différentes législations nationales, comme en France la (sacro-sainte) loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés ». Application directe le 25 mai 2018 !

Entre sidération et optimisme

Sur la papier, cette réforme est ambitieuse. Elle est même pleine de bonne idées. Vous verrez que cette nouvelle réglementation, extrêmement détaillée, parfois un peu nébuleuse, va, je le crois, vers un véritable renforcement de la protection des citoyens de l’Union Européenne et en tout cas, vers plus de transparence dans les traitements réalisés par les professionnels.

Reste à voir comment les entreprises s’y plieront (elles s’y plieront, c’est certain, ont-elles le choix ?) et surtout, comment les autorités de contrôle feront évoluer leurs missions. Espérons que ce soit pour moins de paperasse et plus de concret. Il va falloir, encore et encore, s’adapter à des technologies qui évoluent vite, plus vite que les lois qui les encadrent…

L’application dans le temps ?

Directive vs Règlement UE ?

Pour que la directive 95/46 du 24 octobre 1995 devienne applicable, il a fallu attendre en France la loi dite de transposition du 6 aout 2004… Finies les bizarreries : le Règlement 2016/679 s’appliquera dans les 28 pays membres de l’UE, à l’identique et à partir de la même date (25 mai 2018).

Les règles d’application territoriales

C’est simple : si les personnes dont les données personnelles sont collectées résident sur le territoire de l’UE (quelle que soit la localisation de celui qui collecte) : application du Règlement 2016/679 à cette collecte et à tout traitement ultérieur des données ainsi collectées.

Si le prestataire qui collecte et traite des données personnelles est situé sur le territoire de l’UE : application du Règlement 2016/679. Même pour des données collectées hors UE. Là aussi et encore, c’est très simple. Et qui devrait permettre à des non-résidents de l’UE d’obtenir une protection là ou leur propre pays de résidence n’en propose pas forcément.