Protection des données à caractère personnel



Les institutions européennes ont décidé d’harmoniser et d’adapter la règlementation relative aux données à caractère personnel, afin d’assurer une meilleure protection des données des citoyens européens.
Un projet de Règlement européen a été publié le 15 décembre 2015.
Ce texte est soumis à l’approbation du Conseil de l’Union Européenne, puis sera transmis au Parlement pour adoption dans les prochains mois. Le Règlement dès son entrée en vigueur (en principe début 2018) sera applicable directement dans l’ensemble de l’Union Européenne, sans qu’une transposition soit nécessaire. En France il se substituera à la Loi du 6 janvier 1978, dite Loi Informatique et Libertés. De nombreux changements sont attendus. Le champ d’application de la règlementation sera étendu à de nouveaux acteurs et les obligations incombant aux responsables de traitement seront sensiblement alourdies. Les rôles et pouvoirs des autorités de contrôle seront également profondément renforcés. En sus des traitements mis en œuvre par des responsables de traitements établis dans l’Union Européenne, le règlement a vocation à régir également l’ensemble des traitements liés à l’offre de biens et de services à des personnes résidents au sein de l’Union Européenne quel que soit le lieu du principal établissement du responsable du traitement. Le Règlement donne une nouvelle définition des données à caractère personnel, laquelle englobe les données non nominatives, telles que les identifiants en ligne ou les données de géolocalisation d’un individu, elle englobe encore toute information relative à l’identité physique, physiologique, génétique, mentale, économique, culturelle et sociale d’un individu.
Un principe de transparence  est proclamé, lequel suppose une information renforcée des personnes concernées. Le consentement des individus au traitement de leurs données devra être libre, spécifique, informé et non ambigu. Le responsable de traitement devra se conformer à un principe de minimisation des données et se limiter à la collecte des seules informations strictement nécessaires à la mise en œuvre du traitement. Le Règlement donne entérine également le droit à l’oubli numérique, et le droit à la portabilité des données. Les obligations relatives à la sécurité des données seront sensiblement renforcées. Le Règlement supprime l’obligation de déclaration préalable des traitements auprès de la Commission Nationale de l’Informatique et des Libertés.
Dans le but d’alléger les formalités des responsables de traitement établis dans plusieurs pays de l’Union Européenne, le principe du guichet unique sera mis en place. En contrepartie de l’allègement des formalités préalables, le responsable de traitement et le sous-traitant devront tenir un registre recensement des différents traitements qu’ils mettent en œuvre, qui sera mis à disposition de l’autorité de contrôle sur demande. Le Règlement accompagne la tenue du registre de l’obligation de désigner un délégué à la protection des données. Le Règlement augmente de manière considérable les montants des sanctions. Le Règlement consacre la notion de responsabilité conjointe, en prévoyant la possibilité de désigner plusieurs responsables de traitement, lorsque plusieurs  personnes déterminent ensemble les finalités et modalités du traitement. Tous les responsables de traitement et ou tous les sous-traitants  ayant participé au traitement litigieux seront solidairement responsables.