Après près de quatre ans de discussions, le Parlement européen, le Conseil des ministres de l’Union européenne et la Commission européenne sont enfin parvenus à un accord global le 15 décembre 2015. Les négociations portaient sur deux textes : un règlement général sur la protection des données personnelles et une directive spécifique concernant les données utilisées par la police et les autorités judiciaires.
Le député Jan Philipp Albrecht, rapporteur du Parlement Européen sur le projet de règlement « Données personnelles »
Le règlement, applicable directement, entrera en vigueur deux ans après son adoption, qui devrait intervenir d’ici juin 2016. Son objectif est de renforcer la protection des citoyens de l’Union européenne tout en facilitant l’application des règles pour les entreprises.
Parmi les nouveautés, on retiendra le droit à la portabilité des données, le droit à l’oubli (sous la forme d’un droit au déréférencement), la promotion de l’intégration de la composante « données personnelles » dès la conception des produits et services fournis par les entreprises (« data protection by design »), le principe de responsabilité (« accountability ») et le renforcement des sanctions puisque les amendes pourront atteindre jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise contrevenante.
Les conséquences de cette réforme en matière d’identité numérique ont été exposées par Claire Levallois-Barth lors de la Conférence organisée par l'ASCIEL le 14 décembre 2015 sur le thème « Impact on eIDAS of the future regulation on General Data Protection ». Son intervention a notamment porté sur les notions de « donnée personnelle », « donnée pseudonymisée » et « donnée anonymisée ».
Claire Levallois-Barth
Maître de conférences en droit à Télécom ParisTech et coordinatrice de la Chaire