L'avenir de la protection des données en Europe : ce qui va changer

À lire aussi

• Top 10 des législations européennes les plus contraignantes pour les PME
• Protection des données personnelles : La Cnil publie 5 fiches pratiques sur vos droits et obligations
• Tendance à suivre : des avatars trient les données personnelles

Les autorités européennes l'ont bien compris, en faisant de la protection des données à caractère personnel l'élément-clé de l'agenda numérique pour l'Europe et de la stratégie européenne 2020. Pour cela, une priorité s'impose : renforcer le cadre juridique existant en le rendant plus cohérent, afin de créer la confiance nécessaire au développement de l'économie digitale au sein du marché intérieur. En effet, si la directive 95/46/CE a consacré les grands principes de la protection des données, la transposition de ses dispositions dans les États membres a été faite a minima, créant parfois des écarts, sources d'obstacle à l'activité économique au sein de l'Union européenne et de risques pour la protection des données.

Vers un règlement commun

Pour supprimer ces obstacles, les autorités européennes ont décidé d'élaborer un règlement, qui présente les particularités d'avoir une portée générale, et d'être obligatoire et directement applicable dans chaque État membre.

Le projet de règlement du 29 novembre 2011 apporte des changements majeurs en matière de protection des données, auxquels devront se conformer les responsables de traitements dans les deux ans qui suivront son entrée en vigueur, quelle que soit la taille de l'entreprise. Parmi les nouveautés les plus marquantes, peuvent être citées :
- le nouveau principe de transparence et le principe de limitation des traitements de données traitées au “minimum nécessaire” ;
- les procédures et modalités d'exercice des droits des personnes, ainsi que les informations à communiquer en cas de demande d'exercice de son droit d'accès par une personne concernée ;
- l'obligation, pour les responsables de traitements, d'établir des “policies” en langage clair et compréhensible ;
- la clarification des conditions de recueil du consentement au traitement de ses données personnelles par la personne concernée ;
- l'accroissement du nombre d'informations à faire figurer dans les mentions, en ajoutant notamment la durée de conservation, ou encore le droit de déposer plainte auprès des autorités de protection des données ;
- le renforcement des obligations en matière de sécurité et de confidentialité, et notamment l'obligation de notifier les violations de sécurité aux autorités ;
- l'obligation de désigner un “data protection officer”, agent à la protection des données, dans certaines hypothèses spécifiques ;
- l'obligation de procéder à une évaluation des risques présentés par les traitements, afin de prendre les mesures de sécurité appropriées ;
- le renforcement des sanctions administratives pouvant être prononcées par les autorités de protection des données...

Pour les spécialistes du marketing, une disposition devra faire l'objet d'une attention toute particulière dans les prochains mois : celle qui conditionne la licéité des traitements de marketing direct à des fins commerciales au consentement des personnes concernées.

Ce règlement n'est encore qu'un projet, mais il dessine ce que sera la protection des données dans les années à venir. Si, à n'en pas douter, cette réforme permet d'assurer une harmonisation complète au sein de l'Union européenne en assurant un niveau de protection identique, elle entraînera des modifications substantielles dans les pratiques des entreprises.

Compte tenu du délai qui sera laissé aux responsables de traitements pour se mettre en conformité, et des modifications que le projet de règlement semble prévoir, les entreprises auraient donc intérêt, afin de ne pas être, le moment venu, mises aux pieds du mur, à anticiper une réflexion permettant notamment d'évaluer les impacts de ces modifications sur leur organisation, leur structure et leurs procédures internes.

Maître Céline Avignon est avocate, directrice du département publicité et marketing électroniques du cabinet d'avocats Alain Bensoussan, spécialisé dans les nouvelles technologies.