À un peu plus de 100 jours de l’entrée en vigueur du règlement européen sur la protection des données, les États membres font figure de mauvais élèves. À ce jour, l’Allemagne et l’Autriche sont les deux seuls États à avoir finalisé le travail législatif. La Commission européenne, inquiète, demande aux États et aux entreprises de redoubler d’efforts et publie de nouvelles orientations pour les aider dans la mise en conformité.
« Dans le monde d’aujourd’hui, la manière dont nous traitons les données déterminera dans une large mesure notre avenir économique et notre sécurité personnelle. Nous avons besoin de règles modernes pour faire face à des risques nouveaux ; c’est pourquoi nous appelons les gouvernements des États membres, les autorités et les entreprises de l’UE à tirer au mieux parti du temps qu’il reste et à s’acquitter de leurs missions dans la perspective du grand jour. » Věra Jourová, commissaire européenne chargée de la justice, des consommateurs et de l’égalité des genres.
Et comme le temps est désormais compté, la commission a publié le 24 janvier dernier, des orientations visant à faciliter l’application des nouvelles règles en matière de protection des données.
Les orientations soulignent les mesures que la Commission européenne, les autorités nationales de protection des données et les administrations nationales devraient encore prendre pour mener à bien les préparatifs. Car si le nouveau règlement fournit un ensemble unique de règles directement applicables dans tous les États membres, d’importants ajustements n’en resteront pas moins nécessaires.
Notamment, pour certains aspects comme la modification des législations existantes par les gouvernements des États membres de l’UE ou la mise en place du comité européen de la protection des données par les autorités de protection des données.
Les orientations rappellent les principales innovations et perspectives découlant des nouvelles règles, prennent acte des préparatifs déjà engagés et mettent en exergue ce qui doit encore être accompli par la Commission européenne, les autorités nationales de protection des données et les administrations nationales.
Marché unique numérique
Les orientations rappellent les principaux éléments des nouvelles règles en matière de protection des données :
- Un ensemble unique de règles pour tout le continent, garantissant la sécurité juridique pour les entreprises et un même niveau de protection des données pour tous les citoyens de l’UE.
- Des règles identiques applicables à l’ensemble des entreprises offrant leurs services dans l’UE, même lorsque ces entreprises sont basées hors du territoire de l’UE.
- Des droits nouveaux et plus forts pour les citoyens : le droit à l’information, le droit d’accès et le droit à l’oubli sont renforcés. Un nouveau droit à la portabilité des données permet aux citoyens de transférer leurs données d’une entreprise à l’autre. De nouveaux débouchés commerciaux s’ouvriront ainsi aux entreprises.
- Une protection accrue contre les violations de données : une entreprise victime d’une violation de données, qui fait courir un risque aux personnes concernées, doit en informer l’autorité de protection des données dans les 72 heures.
- Des règles contraignantes et des amendes dissuasives : toutes les autorités de protection des données pourront infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial.
Depuis l’adoption du règlement général sur la protection des données, en mai 2016, la Commission a collaboré activement avec tous les acteurs concernés (gouvernements, autorités nationales, entreprises, société civile) en vue de préparer l’application des nouvelles règles.
La commission souligne que « les préparatifs progressent à des vitesses variant d’un État membre à l’autre. À ce stade, seuls deux d’entre eux ont déjà adopté la législation nationale pertinente. Les États membres devraient accélérer l’adoption de la législation nationale et faire en sorte que les mesures prises soient conformes au règlement. Ils devraient aussi veiller à doter leurs autorités nationales des ressources financières et humaines nécessaires pour garantir leur indépendance et leur efficacité. »
En outre, parallèlement à l’adoption de la présente communication, la Commission lance une boîte à outils en ligne pour aider les parties prenantes à se préparer en vue de l’application du règlement, ainsi qu’une campagne d’information dans tous les États membres, avec le soutien des bureaux de représentation.
Les orientations se présentent donc sous la forme d’un outil pratique en ligne disponible dans toutes les langues de l’UE. Cet outil sera régulièrement mis à jour et cible essentiellement trois publics : les citoyens, les entreprises (en particulier les PME) et d’autres organisations, et les administrations publiques. Il comprend des questions et des réponses sélectionnées sur la base du retour d’informations des parties prenantes, avec des exemples pratiques et des liens vers diverses sources d’information (par exemple, des articles du règlement, les lignes directrices adoptées par le groupe de travail «article 29»/ le comité européen de la protection des données, ainsi que le matériel élaboré à l’échelle nationale).
Prochaines étapes
D’ici au 25 mai, la Commission ajoute qu’elle « continuera d’aider activement les États membres, les autorités de protection des données et les entreprises afin de faire en sorte que la réforme soit prête à être mise en œuvre ». À compter de mai 2018, « elle surveillera la manière dont ils appliquent les nouvelles règles et prendra les mesures appropriées, le cas échéant. »
Un an après l’entrée en vigueur du règlement (2019), la Commission organisera un événement pour dresser le bilan de l’expérience des différentes parties prenantes en ce qui concerne sa mise en œuvre.
