La technologie a bouleversé nos comportements sociaux et s’immisce désormais jusque dans nos quotidiens. Le régime juridique de protection des données, conçu aux prémices d’internet, devait donc être modernisé.
Le 14 avril 2016, le Parlement européen a définitivement adopté le règlement général de protection des données[1]. Voué à consolider la protection des droits fondamentaux sur internet, ce règlement remplacera la directive 95/46/CE et sera applicable dès le mois de mai 2018.
La consécration de nouveaux droits
Tout d’abord, à une brève directive laissant une marge de manœuvre aux États membres dans leurs transpositions, succédera un règlement européen long de 99 articles et directement applicable en droit interne. Il étendra également le champ d’application personnel et territorial du régime de protection des données. Il s’appliquera en effet aux sous-traitants des responsables de traitement, qu’ils soient établis sur le territoire de l’Union ou, à défaut, que le traitement des données vise des personnes situées dans l’Union européenne[2].
Ce règlement garantit ensuite davantage de droits aux individus. C’est le cas du droit de retirer librement leur consentement au traitement de leurs données et de l’obligation pour les prestataires d’assurer qu’il soit « aussi simple de [le] retirer que de [le] donner »[3]. Le droit à l’oubli numérique y est aussi consacré[4]. Il s’agit d’un principe dégagé par la Cour de Justice[5] offrant la possibilité aux individus de demander l’effacement de leurs données dans le cas où leur traitement n’est pas justifié par un motif légitime. Cette disposition a vocation de protéger les droits au respect de la vie privée et des données à caractère personnel, mais elle devra être conciliée avec les libertés d’expression et d’information.
C’est enfin le droit à un recours effectif qui sera conforté par le règlement. Les individus pourront s’opposer au traitement de leurs données et, le cas échéant, réclamer la réparation d’un préjudice[6] par des recours administratifs[7] ou juridictionnels[8] à l’encontre des responsables ou coresponsables du traitement[9].
Une refonte opportune
Depuis 1995, l’économie numérique s’est considérablement développée. Les données font aujourd’hui l’objet de transactions commerciales et de nouveaux usages, à l’instar du Big data et du cloud computing. Aussi, à la relation classique entre les individus et leur responsable du traitement succède-t-il désormais des cycles complexes portés par la sous-traitance et l’internationalisation des traitements.
Dans un objectif d’adaptation, le règlement dispose dorénavant d’un statut juridique propre au sous-traitant[10]. Il encadre ainsi les possibilités de recours à la sous-traitance et définit une responsabilité conjointe dans le traitement des données. Enfin, pour s’assurer de la mise en conformité des entreprises aux objectifs du règlement, celui-ci encourage la certification des codes de conduite[11] ou des règles d’entreprises contraignantes[12] pouvant mener, à terme, à la création d’un label européen de protection des données.
C’est ainsi que le règlement général de protection des données, en réformant le droit applicable aux traitements des données à caractère personnel, devrait garantir le respect d’un niveau élevé de protection des droits fondamentaux des individus sur internet.
Yoann Munari
Pour en savoir + :
[1] Règlement (UE) 2016/679[2] Art. 3.
[3] Art. 7.
[4] Art. 17.
[5] CJUE, Google Spain, 13 mai 2014, C131/12.
[6] Art. 82.
[7] Art.83 et 84.
[8] Art. 78.
[9] Art. 24 et 26
[10] Art. 4 § 8 et 28.
[11] Art. 40 et 41.
[12] Art. 12.
F. Mattatia, « Synthèse du futur règlement européen sur les données personnelles (1re partie) », RLDI, mai 2016.