Data Protection Day 2014: pleine vitesse sur la réforme de la protection des données

La vice-présidente Viviane Reding, commissaire à la justice de l'UE, a déclaré avant la journée de la protection des données (28 janvier): "La protection des données dans l'Union européenne est un droit fondamental. L'Europe dispose déjà du niveau de protection des données le plus élevé au monde. Avec l'UE réforme de la protection des données qui a été proposée il y a exactement deux ans - en janvier 2012 - l'Europe a la possibilité de faire de ces règles un étalon-or mondial. Ces règles bénéficieront aux citoyens qui veulent pouvoir faire confiance aux services en ligne et aux petites et moyennes entreprises considérant un marché unique de plus de 500 millions de consommateurs comme une opportunité inexploitée. Le Parlement européen a montré la voie en votant massivement en faveur de ces règles. Je souhaite voir la protection des données à plein régime en 2014. "

La vice-présidente Reding a prononcé un discours clé lors de la journée de la protection des données, à 11h CET, à la Centre d'études de politique européenne (CEPS) appelant à «un nouveau pacte de protection des données pour l'Europe».

1. Où en sommes-nous deux ans après les propositions de la Commission?

Il y a deux ans, en janvier 2012, la Commission européenne a proposé une réforme des règles de l'UE en matière de protection des données pour les adapter au 21e siècle (voir IP / 12 / 46). La réforme consiste en un projet de règlement établissant un cadre général de l'UE pour la protection des données et un projet de directive sur la protection des données à caractère personnel traitées à des fins de prévention, de détection, d'enquête ou de poursuite d'infractions pénales et d'activités judiciaires connexes. Les propositions sont en cours de discussion entre les deux co-législateurs de l'Union européenne, le Parlement européen et le Conseil de l'UE, dans lesquels siègent des ministres nationaux.

Pour devenir loi, les propositions doivent être approuvées par ces colégislateurs.

Parlement européen

Le 21 octobre 2013, la principale commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen a soutenu les propositions de la Commission à une écrasante majorité et les a même renforcées dans certains domaines (voir MEMO / 13 / 923 pour plus de détails). Les rapports des membres du Parlement européen (eurodéputés) Jan-Philipp Albrecht et Dimitrios Droutsas, sur lesquels les membres de la commission LIBE ont voté, ont été accueillis comme une forte approbation de l'approche globale de la Commission en matière de réforme de la protection des données et un signal important des progrès de la procédure législative. Le vote LIBE donne mandat à ses rapporteurs, les députés Albrecht et Droutsas, d'entamer des négociations avec le Conseil de l'UE.

Publicité

Conseil de l'UE

La réforme de la protection des données a été discutée à plusieurs reprises par les ministres nationaux au sein du Conseil de la justice. Plus récemment, les ministres de la Justice sont parvenus à un accord de principe sur le mécanisme de `` guichet unique '' (la proposition selon laquelle chaque entreprise opérant dans le marché unique devrait avoir un interlocuteur réglementaire unique dans l'UE) lors du Conseil d'octobre 2013 (Communiqué de presse du Conseil ainsi que SPEECH / 13 / 788). Les propositions ont de nouveau été discutées lors du Conseil Justice de décembre (voir SPEECH / 13 / 1029) et lors du Conseil JAI informel d’Athènes, le 23-24, janvier. Un accord sur la réforme est possible avant la fin de cette année.

Conseil européen

Les chefs d'État et de gouvernement européens se sont engagés à adopter `` en temps opportun '' la nouvelle législation sur la protection des données lors d'un sommet les 24 et 25 octobre 2013, axé sur l'économie numérique, l'innovation et les services (voir Conclusions).

Quelles sont les prochaines étapes?

La réforme de la protection des données est une priorité pour la présidence grecque. La présidence a convoqué une réunion tripartite à Athènes (le 22 de janvier) avec la Commission européenne, les deux rapporteurs du Parlement européen et la prochaine présidence de l'UE (Italie) afin de définir une feuille de route pour s'accorder rapidement sur la réforme de la protection des données. L'objectif est de convenir d'un mandat de négociation avec le Parlement européen avant la fin de la présidence grecque.

Le Parlement européen devrait adopter les propositions en première lecture lors de la session plénière d’avril 2014.

Un accord sur la réforme de la protection des données est donc possible avant la fin de cette année. À titre de comparaison: la directive actuelle sur la protection des données 1995 a pris cinq ans pour être négociée.

2. Quels sont les principaux avantages de la réforme de la protection des données dans l'UE?

Les propositions de la Commission européenne pour une réforme complète de la directive européenne de 1995 sur la protection des données visent à renforcer le droit à la vie privée et à stimuler l'économie numérique de l'Europe. Les propositions de la Commission actualisent et modernisent les principes consacrés dans la directive de 1995, en les faisant entrer dans l'ère numérique et en s'appuyant sur le niveau élevé de protection des données en place en Europe depuis 1995.

Avantages pour les citoyens

Il est clairement nécessaire de combler le fossé grandissant entre les individus et les entreprises qui traitent leurs données: neuf Européens sur dix (92%) se disent préoccupés par le fait que les applications mobiles collectent leurs données sans leur consentement. Sept Européens sur dix sont préoccupés par l'utilisation potentielle par les entreprises des informations divulguées (voir annexe).

La réforme de la protection des données renforcera les droits des citoyens et contribuera ainsi à restaurer la confiance. De meilleures règles de protection des données signifient que vous pouvez être plus sûr de la manière dont vos données personnelles sont traitées, en particulier en ligne. Les nouvelles règles redonneront aux citoyens le contrôle de leurs données, notamment par:

1. Un droit à être oublié: lorsque vous ne souhaitez plus que vos données soient traitées et qu'il n'existe aucune raison légitime de les conserver, celles-ci sont supprimées. Il s’agit de responsabiliser les individus, et non d’effacer les événements passés ou de restreindre la liberté de la presse (voir la section correspondante à ce sujet).
2. Un accès plus facile à vos propres données: un droit à la portabilité des données facilitera le transfert de vos données personnelles entre fournisseurs de services.
3. Vous permettant de décider de la manière dont vos données sont utilisées: Lorsque votre consentement est requis pour traiter vos données, vous devez être invité à les fournir explicitement. Cela ne peut pas être supposé. Ne rien dire n'est pas la même chose que dire oui. Les entreprises et les organisations devront également vous informer sans délai indu des atteintes à la sécurité des données susceptibles de vous affecter.
4. Le droit de savoir quand vos données ont été piratées: par exemple, les sociétés et les organisations doivent notifier dès que possible les violations graves des données à l'autorité de surveillance nationale (si possible dans les heures 24), afin que les utilisateurs puissent prendre les mesures appropriées.
5. La protection des données d'abord, pas une réflexion après coup: la «confidentialité dès la conception» et la «confidentialité par défaut» deviendront également des principes essentiels des règles de l'UE en matière de protection des données - cela signifie que des garanties de protection des données doivent être intégrées aux produits et aux services dès le début et que les paramètres par défaut respectueux de la vie privée devraient être la norme, par exemple sur les réseaux sociaux ou les applications mobiles.

Avantages pour les entreprises

Les données sont la devise de l'économie numérique d'aujourd'hui. Collectées, analysées et déplacées à travers le monde, les données personnelles ont acquis une énorme importance économique. Selon certaines estimations, la valeur des données personnelles des citoyens européens pourrait atteindre près de 1 billion d'euros par an d'ici 2020. Le renforcement des normes élevées de protection des données en Europe est une opportunité commerciale.

La réforme de la protection des données de la Commission européenne aidera le marché unique numérique à réaliser ce potentiel, notamment grâce à quatre innovations principales:

1. Un continent, une loi: le règlement établira une loi unique paneuropéenne sur la protection des données, qui remplacera le patchwork incohérent de lois nationales. Les entreprises vont traiter avec une seule loi, pas 28. Les bénéfices sont estimés à un milliard d'euros par an.
2. Guichet unique: le règlement établira un «guichet unique» pour les entreprises: les entreprises n'auront à traiter qu'avec une seule autorité de contrôle, et non 28, ce qui simplifiera et coûtera moins cher pour les entreprises de faire des affaires dans l'UE; et plus facile, plus rapide et plus efficace pour les citoyens de protéger leurs données personnelles.
3. Les mêmes règles s'appliquent à toutes les entreprises, quelle que soit leur structure: les entreprises européennes doivent aujourd'hui se conformer à des normes plus strictes que celles établies en dehors de l'UE mais également actives sur notre marché unique. Avec la réforme, les entreprises basées hors d'Europe devront appliquer les mêmes règles. Nous créons des conditions égales pour tous.
4. Les régulateurs européens disposeront de puissants pouvoirs de contrôle: les autorités de protection des données pourront imposer aux entreprises non conformes aux règles de l'UE jusqu'à 2% de leur chiffre d'affaires annuel global. Le Parlement européen a même proposé de porter les sanctions possibles à 5%. Les entreprises européennes respectueuses de la vie privée disposeront d'un avantage concurrentiel à l'échelle mondiale à un moment où la question devient de plus en plus sensible.

Avantages pour les PME

La réforme de la protection des données vise à stimuler la croissance économique en réduisant les coûts et la bureaucratie pour les entreprises européennes, en particulier pour les petites et moyennes entreprises (PME). Premièrement, en ayant une règle au lieu de 28, la réforme de la protection des données de l'UE aidera les PME à pénétrer de nouveaux marchés. Deuxièmement, la Commission a proposé d'exempter les PME de plusieurs dispositions du règlement sur la protection des données - alors que la directive actuelle de 1995 sur la protection des données s'applique à toutes les entreprises européennes, quelle que soit leur taille. En vertu des nouvelles règles, les PME bénéficieront de quatre réductions de la bureaucratie:

1. Responsables de la protection des données: les PME sont dispensées de l'obligation de désigner un responsable de la protection des données dans la mesure où le traitement des données ne constitue pas leur activité principale.
2. Plus de notifications: les notifications aux autorités de contrôle sont une formalité et une bureaucratie qui représente un coût pour les affaires de € 130 millions chaque année. La réforme les supprimera entièrement.
3. Chaque centime compte: lorsque les demandes d'accès aux données sont excessives ou répétitives, les PME pourront facturer des frais pour la fourniture de l'accès.
4. Analyses d'impact: les PME ne seront pas tenues de réaliser une analyse d'impact sauf en cas de risque spécifique.

Les règles seront également flexibles. Les règles de l'UE prendront correctement en compte les risques. Nous voulons nous assurer que des obligations ne sont pas imposées sauf lorsqu'elles sont nécessaires à la protection des données à caractère personnel: le boulanger du coin ne sera pas soumis aux mêmes règles qu'un spécialiste (multinational) en traitement de données. Dans un certain nombre de cas, les obligations des responsables du traitement et des responsables de traitement des données sont adaptées à la taille de l'entreprise et à la nature des données traitées. Par exemple, les PME ne se verront pas infliger d'amende pour une première violation non intentionnelle des règles.

3. Quels sont le «guichet unique» et le «mécanisme de cohérence» proposés dans la réforme de la protection des données de l'UE? Comment vont-ils aider?

Dans un marché unique des données, des règles identiques sur papier ne suffiront pas. Nous devons veiller à ce que les règles soient interprétées et appliquées de la même manière partout. C’est pourquoi notre réforme introduit un Mécanisme de cohérence rationaliser la coopération entre les autorités de protection des données sur des questions ayant des implications pour l'ensemble de l'Europe.

À l'heure actuelle, une entreprise qui traite des données dans l'Union européenne doit respecter les lois nationales 28 et avec encore plus de régulateurs nationaux et locaux. Le règlement sur la protection des données établira une loi unique européenne pour la protection des données, remplaçant le patchwork incohérent des lois nationales 28. Cela créera également un «guichet unique» réglementaire pour les entreprises: les entreprises n'auront à traiter qu'avec une seule autorité de surveillance, pas 28.

Les failles du système actuel ont été illustrées dans l’affaire Google Street View. Les actions d'une seule entreprise ont affecté de la même manière des individus dans plusieurs États membres. Cependant, ils ont suscité des réponses non coordonnées et divergentes de la part des autorités nationales de protection des données.

Ce guichet unique assurera la sécurité juridique aux entreprises opérant dans l'ensemble de l'UE et apportera des avantages aux particuliers et aux autorités de protection des données.

Les entreprises bénéficieront de décisions plus rapides, d'un seul interlocuteur (éliminant plusieurs points de contact) et d'une réduction des formalités administratives. Ils bénéficieront de la cohérence des décisions lorsque la même activité de traitement a lieu dans plusieurs États membres.

Dans le même temps, les personnes verront leur protection renforcée par l'intermédiaire de leurs autorités de surveillance locales, car elles pourront toujours s'adresser à leur autorité de protection des données locale. L'objectif est d'améliorer le système actuel dans lequel les personnes vivant dans un État membre doivent se rendre dans un autre État membre pour déposer une plainte auprès d'une autorité de protection des données simplement parce que la société est basée en dehors de leur pays d'origine. À l'heure actuelle, lorsqu'une entreprise est établie dans un État membre, seule l'autorité de protection des données de cet État membre est compétente, même si l'entreprise traite des données dans toute l'Europe. Les propositions visent à corriger cette anomalie.

Les nouvelles règles rapprochent le règlement des plaintes des citoyens, simplifient les procédures et éliminent la complexité, facilitant ainsi la résolution des problèmes. Cela aiderait résolument les citoyens dans des cas similaires à celui de l'étudiant autrichien, qui devait déposer sa plainte contre Facebook en anglais devant l'autorité irlandaise, où Facebook est établi.

Les propositions consacrent également le droit d'un citoyen de poursuivre en justice une entreprise qui traite ses données dans son État membre d'origine. Chaque citoyen a donc un droit de recours administratif et judiciaire chez lui.

4. Comment la protection des données de l'UE aidera-t-elle le marché unique numérique de l'UE?

Le monde a profondément changé depuis 1995, année de l'adoption du cadre actuel de l'UE pour la protection des données. Les révolutions technologiques ont entraîné une explosion de la quantité et de la qualité des données à caractère personnel disponibles sur le marché unique numérique. Les entreprises ont appris à exploiter son potentiel dans des secteurs aussi variés que l'assurance, la santé et la publicité. Collectées, analysées et déplacées par ces sociétés, les données personnelles ont acquis une énorme valeur économique. Selon le Boston Consulting Group, la valeur des données des citoyens de l'UE s'élevait à 315 milliards d'euros en 2011 et pourrait atteindre près de 100 milliards de milliards 1 en 2020.

La réforme de la protection des données aidera le marché unique numérique à réaliser ce potentiel. Les avantages de la simplification via la réforme de la protection des données de l'UE sont estimés à 2.3 milliards d'euros par an.

Le plus grand défi à la croissance des industries dépendant des données personnelles est le manque de confiance. Ce n'est que si les gens sont prêts à divulguer leurs données personnelles que les entreprises récolteront tous les fruits de notre marché unique numérique. À l'heure actuelle, la confiance des gens dans la manière dont les entreprises privées traitent leurs données diminue.

La protection des données a un rôle important à jouer pour remédier à ce manque de confiance. Les gens ont besoin de voir que leurs droits sont appliqués de manière significative. La réforme mettra à jour les droits des citoyens tels que le droit à l'oubli, le droit à la portabilité des données et le droit d'être informé des violations de données à caractère personnel (voir ci-dessus). La réforme garantira également que les règles de l'Union sont correctement appliquées. Il prévoit un mécanisme de mise en œuvre efficace et permet aux régulateurs nationaux d'imposer des amendes pouvant aller jusqu'à 2% du chiffre d'affaires mondial annuel d'une entreprise.

5. Quel est le droit d'être oublié? Cela affectera-t-il la liberté de la presse et des archives historiques?

Les propositions de la Commission pour 2012 incluent un droit à l'oubli renforcé. Les propositions de réforme s'appuient sur le droit existant d'exiger que les données à caractère personnel soient supprimées si elles ne sont plus nécessaires à des fins légitimes. Cela couvre toutes sortes de situations quotidiennes. Par exemple, les enfants peuvent ne pas comprendre les risques liés à la mise à disposition de leurs informations personnelles - pour le regretter en grandissant. Ils devraient pouvoir supprimer ces informations s'ils le souhaitent.

Le droit d'être oublié ne consiste pas à réécrire l'histoire. La proposition de la Commission protège la liberté d'expression et la liberté des médias, ainsi que la recherche historique et scientifique. Il prévoit des dérogations pour ces secteurs, invitant les États membres à adopter des lois nationales garantissant le respect de ces droits fondamentaux. Cela permet aux archives de continuer à fonctionner sur la base des mêmes principes qu'aujourd'hui. De même, les données personnelles peuvent être conservées aussi longtemps que cela est nécessaire pour exécuter un contrat ou pour respecter une obligation légale (par exemple, lorsque les citoyens ont un contrat de prêt avec leur banque). En bref, le droit à l'oubli n'est pas absolu et n'affecte pas la recherche historique ou la liberté de la presse.

Les droits des entreprises sont également protégés. Si les données personnelles en question ont été rendues publiques (par exemple, publiées sur Internet), une entreprise doit faire un véritable effort pour s'assurer que les tiers sont informés de la demande du citoyen de supprimer les données. De toute évidence, une entreprise ne sera pas obligée d'effacer toutes les traces laissées dans les index de recherche et ce n'est pas ce que demande la Commission. Les entreprises doivent simplement prendre des mesures raisonnables pour s'assurer que les tiers, à qui les informations ont été transmises, soient informés que l'individu souhaite qu'elle soit supprimée. Dans la plupart des cas, cela n'impliquera rien de plus que la rédaction d'un e-mail.

6. Comment la réforme de la protection des données dans l'UE affectera-t-elle la recherche scientifique?

La recherche scientifique dans l'UE devrait bénéficier de la réforme de la protection des données proposée. Les données personnelles relatives à la santé sont des données sensibles et ne doivent généralement pas être traitées, sauf si cela est nécessaire pour des raisons d'intérêt public ou si la personne identifiée a donné son accord. Les règles de protection des données en vigueur en Europe n'harmonisent pas les conditions pour le traitement des données de santé. Cela a entraîné une fragmentation, des coûts et des effets dissuasifs pour les scientifiques et les entreprises impliqués.

Le paquet de réformes de la Commission vise à éliminer la fragmentation et à assurer la cohérence et la cohérence pour l'ensemble de l'Union. Cela devrait en particulier profiter au secteur de la recherche. Le règlement général sur la protection des données contient des dispositions spécifiques sur le traitement à des fins médicales et sur la recherche historique, statistique et scientifique. Ces dispositions seront entièrement harmonisées - fournissant un ensemble unique de règles sur les données de recherche dans l'ensemble de l'Union.

Le droit à l'oubli ne s'applique pas à ces secteurs.

L'uniformité des règles réduira les coûts et la complexité, et constituera un puissant moteur pour le développement de services de santé transfrontaliers, d'initiatives de santé publiques-privées et d'applications de santé en ligne qui dépendent de manière cruciale du traitement des données à caractère personnel.

7. Quelle est la réponse de l'UE aux allégations de surveillance de citoyens européens par les agences de renseignement américaines?

La confiance dans les relations transatlantiques a été endommagée par les révélations. La Commission européenne a réagi aux programmes de surveillance américains en précisant que la surveillance massive des citoyens était inacceptable. La collecte des données doit être ciblée et limitée à ce qui est proportionné aux objectifs fixés. La sécurité nationale ne signifie pas que quelque chose se passe.

Les révélations de surveillance ont également un impact économique. Une enquête menée par la Cloud Security Alliance après les récentes révélations sur la surveillance a révélé que 56% des répondants hésitaient à travailler avec tout fournisseur de services de cloud basé aux États-Unis. C'est l'impact de la méfiance des consommateurs. En termes monétaires, la fondation pour les technologies de l’information et de l’innovation estime que les révélations de la surveillance coûteront à l’industrie américaine du cloud computing des pertes de revenus de 22 à un milliard de XN $ au cours des trois prochaines années. En bref: perte de confiance signifie perte de revenus.

La réponse de l'Union européenne

En novembre, 2013, la Commission européenne a défini les actions à entreprendre afin de rétablir la confiance dans les flux de données entre l'UE et les États-Unis (IP / 13 / 1166). La réponse de la Commission a pris la forme (1) d'un document de stratégie (une communication) sur les flux transatlantiques de données exposant les défis et les risques suite aux révélations des programmes américains de collecte de renseignements, ainsi que les mesures à prendre pour répondre à ces préoccupations ; (2) une analyse du fonctionnement de 'Safe Harbour', qui réglemente les transferts de données à des fins commerciales entre l’UE et les États-Unis; et (3) un rapport sur les conclusions du groupe de travail UE-États-Unis (voir MEMO / 13 / 1059) sur la protection des données qui a été créée en juillet 2013.

Le document de stratégie de la Commission appelait à une action dans six domaines:

1. Une adoption rapide de la réforme de la protection des données de l'UE: le cadre législatif fort avec des règles claires qui sont applicables également dans les situations où les données sont transférées et traitées à l'étranger est, plus que jamais, une nécessité.
2. Rendre la «sphère de sécurité» plus sûre: la Commission a formulé des recommandations 13 visant à améliorer le fonctionnement du régime de la «sphère de sécurité», après qu'une analyse ait révélé que le fonctionnement du régime était déficient à plusieurs égards. Les remèdes doivent être identifiés en été 2014. La Commission examinera ensuite le fonctionnement du système en fonction de la mise en œuvre de ces recommandations 13 et décidera de l'avenir de la sphère de sécurité.
3. Renforcement des garanties de protection des données dans le domaine de l'application de la loi: les négociations en cours sur un `` accord-cadre '' UE-États-Unis (IP / 10 / 1661) pour les transferts et le traitement de données dans le cadre de la coopération policière et judiciaire devrait être rapidement conclue. Un accord doit garantir un niveau élevé de protection aux citoyens qui devraient bénéficier des mêmes droits des deux côtés de l’Atlantique. Notamment, les citoyens de l'UE qui ne résident pas aux États-Unis devraient bénéficier de mécanismes de recours judiciaires. Lors de la dernière réunion ministérielle UE-États-Unis sur la justice et les affaires intérieures (du 18 de novembre), des progrès satisfaisants ont été accomplis (MEMO / 13 / 1010).
4. Utilisation des accords d’entraide judiciaire et des accords sectoriels existants pour obtenir des données: L’administration américaine devrait s’engager, à titre de principe général, à utiliser un cadre juridique tel que l’entraide judiciaire et les accords sectoriels UE-États-Unis, tels que Programme de surveillance du financement du terrorisme chaque fois que des transferts de données sont nécessaires à des fins répressives. Demander directement aux entreprises ne devrait être possible que dans des situations clairement définies, exceptionnelles et susceptibles de contrôle judiciaire.
5. Répondre aux préoccupations européennes dans le processus de réforme en cours aux États-Unis:
   La Commission européenne a salué les remarques du président Obama et la directive présidentielle sur la révision des programmes de renseignement américains (MEMO / 14 / 30). Il s'est particulièrement félicité de la volonté du président Obama d'étendre les garanties actuellement offertes aux citoyens américains en ce qui concerne la collecte de données à des fins de sécurité nationale aux citoyens non américains. Ces engagements devraient maintenant être suivis d'actions législatives.
6. Promotion des normes de protection de la vie privée à l'échelle internationale: les États-Unis devraient adhérer à la Convention du Conseil de l'Europe sur la protection des personnes à l'égard du traitement automatisé des données à caractère personnel («Convention 108»), en adhérant à la Convention 2001 sur la cybercriminalité.

La Commission a également précisé que les normes de protection des données ne feront pas partie des négociations en cours sur un partenariat transatlantique de commerce et d'investissement.

Le groupe de travail UE-USA

Le groupe de travail ad hoc UE-États-Unis sur la protection des données a été créé en juillet 2013 pour examiner les problèmes découlant des révélations d'un certain nombre de programmes de surveillance américains impliquant la collecte et le traitement à grande échelle de données à caractère personnel. Le but était d'établir les faits concernant les programmes de surveillance américains et leur impact sur les données personnelles des citoyens de l'UE.

La principales conclusions du groupe de travail étaient les suivantes:

1. Un certain nombre de lois américaines autorisent la collecte et le traitement à grande échelle de données à caractère personnel transférées aux États-Unis ou traitées par des sociétés américaines à des fins de renseignement extérieur. Les États-Unis ont confirmé l'existence et les principaux éléments de certains aspects de ces programmes, en vertu desquels la collecte et le traitement des données sont effectués sur la base de la législation des États-Unis, qui énonce des conditions et des garanties spécifiques.
2. Il existe des différences entre les garanties applicables aux citoyens de l'UE et aux citoyens américains dont les données sont traitées. Il existe un niveau de garanties moins élevé qui s'applique aux citoyens de l'UE, ainsi qu'un seuil moins élevé pour la collecte de leurs données personnelles. Bien que les citoyens américains bénéficient de protections constitutionnelles, celles-ci ne s'appliquent pas aux citoyens européens ne résidant pas aux États-Unis.
3. Les décisions de la cour de surveillance des renseignements étrangers étant secrètes et les entreprises étant tenues de garder le secret quant à l'assistance à fournir, il n'existe aucun moyen (judiciaire ou administratif) de renseigner les personnes concernées, tant européennes que américaines. si leurs données personnelles sont collectées ou traitées ultérieurement. Les personnes ne disposent d'aucune possibilité d'accès, de rectification ou d'effacement des données, ni de recours administratif ou judiciaire.
4. Bien qu'il existe un certain degré de contrôle de la part des trois branches du gouvernement qui s'applique dans des cas spécifiques, y compris le contrôle judiciaire des activités qui impliquent une capacité de contraindre des informations, il n'y a pas d'approbation judiciaire sur la manière dont les données collectées sont interrogées: les juges ne sont pas invités à approuver les «sélecteurs» et les critères utilisés pour examiner les données et extraire les informations utilisables.

Rendre le Safe Harbor plus sûr

La Commission européenne a formulé des recommandations 13 améliorer le fonctionnement du programme Safe Harbor. La Commission a spécifiquement appelé les autorités américaines à identifier des solutions d'ici l'été 2014. La Commission examinera ensuite le fonctionnement du système Safe Harbor en fonction de la mise en œuvre de ces recommandations 13 et décidera de son avenir.

Les recommandations 13 sont (voir aussi MEMO / 13 / 1059):

Transparence

1. Les entreprises auto-certifiées doivent divulguer publiquement leurs politiques de confidentialité.
2. Les politiques de confidentialité des sites Web d'entreprises auto-certifiées doivent toujours inclure un lien vers le site Web Safe Harbor du ministère du Commerce, qui répertorie tous les membres "actuels" du système.
3. Les entreprises auto-certifiées doivent publier les conditions de confidentialité de tout contrat conclu avec des sous-traitants, par exemple des services d'informatique en nuage.
4. Indiquez clairement sur le site Web du ministère du Commerce toutes les entreprises qui ne sont pas actuellement membres du programme.

Redresser

1. Les politiques de confidentialité sur les sites Web des entreprises doivent inclure un lien vers le fournisseur du mode alternatif de résolution des conflits (ADR).
2. Le RED devrait être facilement accessible et abordable.
3. Le Département du commerce devrait contrôler plus systématiquement les fournisseurs de RED en ce qui concerne la transparence et l'accessibilité des informations qu'ils fournissent concernant la procédure qu'ils utilisent et le suivi qu'ils donnent aux plaintes.

Toujours vérifier

1. À la suite de la certification ou de la recertification d'entreprises sous Safe Harbor, un certain pourcentage de ces entreprises devrait faire l'objet d'enquêtes d'office sur le respect effectif de leurs politiques de confidentialité (au-delà du contrôle de conformité aux exigences de forme).
2. Chaque fois qu’une constatation de non-conformité a été constatée, à la suite d’une plainte ou d’une enquête, la société devrait faire l’objet d’une enquête spécifique de suivi après l’année 1.
3. En cas de doute sur la conformité d'une entreprise ou de plaintes en instance, le Département du commerce doit informer l'autorité compétente de l'UE en matière de protection des données.
4. Les fausses allégations d'adhésion au Safe Harbor devraient continuer à faire l'objet d'une enquête.

Accès par les autorités américaines

1. Les politiques de confidentialité des entreprises auto-certifiées doivent inclure des informations sur la mesure dans laquelle la législation américaine autorise les autorités publiques à collecter et à traiter des données transférées sous le Safe Harbor. En particulier, les entreprises doivent être encouragées à indiquer dans leurs politiques de confidentialité les cas où elles appliquent des exceptions aux Principes afin de respecter les exigences en matière de sécurité nationale, d'intérêt public ou d'application de la loi.
2. Il est important que l'exception de sécurité nationale prévue par la décision "Safe Harbor" ne soit utilisée que dans la mesure strictement nécessaire ou proportionnée.

Négociations UE-États-Unis sur un `` accord-cadre '' sur la protection des données

L'UE et les États-Unis négocient actuellement un accord-cadre sur la protection des données dans le domaine de la coopération policière et judiciaire ("accord-cadre") (IP / 10 / 1661). L'objectif de l'UE dans ces négociations est d'assurer un niveau élevé de protection des données, conformément aux règles de l'UE en matière de protection des données, pour les citoyens dont les données sont transférées à travers l'Atlantique, renforçant ainsi la coopération UE-États-Unis dans la lutte contre la criminalité et le terrorisme.

La conclusion d'un tel accord, qui prévoit un niveau élevé de protection des données à caractère personnel, représenterait une contribution majeure au renforcement de la confiance outre-Atlantique.

Lors de la dernière réunion ministérielle UE-États-Unis-Justice et affaires intérieures (tenue en novembre 18), nous avons bien progressé:

1. Premièrement, les États-Unis se sont engagés à œuvrer pour résoudre l'une des questions en suspens pour l'Union européenne, à savoir donner aux citoyens de l'Union qui ne résident pas aux États-Unis le droit à un recours juridictionnel si leurs données ont été mal manipulées.
2. Deuxièmement, les États-Unis ont souligné leur volonté d'utiliser l'accord d'entraide judiciaire entre l'UE et les États-Unis de manière plus large et plus efficace lorsqu'ils souhaitent obtenir des données de citoyens de l'Union européenne à des fins de preuve dans le cadre d'une procédure pénale.

L'UE et les États-Unis se sont engagés à "achèvement des négociations sur l'accord avant l'été 2014»(MEMO / 13 / 1010).

ANNEXE

1. Eurobaromètre: Sept Européens sur dix s'inquiètent de l'utilisation potentielle par les entreprises des informations fournies.

La source: Flash Eurobaromètre 359: Attitudes vis-à-vis de la protection des données et de l'identité électronique dans l'Union européenne, juin 2011

Plus d'information

Communiqué de presse - Reding discours au CEPS
Réforme de la protection des données
Commission européenne - protection des données
Page d'accueil de vice-président Viviane Reding
Salle de presse de la direction générale de la justice
Suivez le vice-président sur Twitter:@ VivianeRedingEU
Suivez justice de l'UE sur Twitter: EU_Justice

Partagez cet article: