Un accord européen sur la protection des données

Les négociateurs sont parvenus ce mardi à un accord sur le règlement général de protection des données. La commission LIBE du Parlement européen a adopté le texte ce matin par 44 voix contre 4 et 4 abstentions.

La proposition très restrictive du Parlement européen n’a pas été suivie et dans la version finale, on en revient à une formulation similaire à celle de la directive actuelle. Ceci permet aux marketers de pouvoir accéder à des données personnelles sans avoir systématiquement besoin de demander le consentement de l’individu.

La question la plus préoccupante pour l'industrie est celle des enfants. Le consentement des parents est nécessaire pour que les mineurs de moins de 16 ans (auparavant 13 ans) puissent fournir des données personnelles. Cependant, le texte prévoit également la possibilité pour les États membres de réduire cette exigence à 13 ans dans leur propre législation. Une disposition préoccupante, en particulier pour les médias sociaux tels que Facebook ou Snapchat, à l'égard de la possibilité d'offrir leurs services aux jeunes.

La disposition sur le profilage, rebaptisé «décisions individuelles automatisées, y compris le profilage », devra être interprétée de manière stricte dans sa mise en œuvre. Le texte final offre une approche plus équilibrée. Il n'y a pas d’interdiction stricte sur le profilage, mais le texte exige des garanties spécifiques pour le profilage qui produit des effets juridiques à l'individu ou qui a un impact majeur sur lui. À la demande du Parlement européen, le texte précise que lorsque il y a un opt-out individuel pour le marketing direct, l’opt-out s’applique également sur le profilage dans le cadre du marketing direct.

Alors que la Commission et le Conseil ont proposé des amendes allant jusqu'à 2% du chiffre d'affaires mondial des entreprises si elles ne sont pas conformes aux règles, le Parlement européen a mis sur table un seuil de 5%. Les négociateurs se sont mis d’accord in extremis sur un seuil de 4%. Les négociateurs ont également opté pour la nomination obligatoire d'agents de protection des données. Les PME sont exemptées de cette obligation à condition que le traitement des données ne fasse pas partie du cœur de leurs activités.

Le règlement vise également à créer un One Stop Shop pour les entreprises. Alors que les autorités de protection des données (DPA) devront coopérer davantage, elles disposeront chacune d’un certain pouvoir pour traiter des affaires transfrontalières. Cela limite dans la pratique les avantages de l’One Stop Shop pour les entreprises.

L'accord provisoire conclu mardi soir est encore à confirmer par le Conseil européen et le Parlement européen début 2016. Les 28 pays auront alors deux ans pour mettre en vigueur la règlementation.