Le Règlement sur la protection des données personnelles a été publié au JOUE du 4 mai 2016 (Règlement n° 2016/679 du 27 avril 2016
N° Lexbase : L0189K8I ; lire
N° Lexbase : N2513BWY). Ce texte a vocation à remplacer la Directive sur la protection des données, qui date de 1995 (Directive 95/46 du 24 octobre 1995
N° Lexbase : L8240AUQ). Il permet, pour le citoyen, un renforcement des droits existants, notamment en lui permettant de disposer d'informations complémentaires sur le traitement de ses données mais également de les obtenir sous une forme claire, accessible et compréhensible. Le droit à l'oubli est conforté et un nouveau droit à la portabilité, est prévu, rendant ainsi plus effective la maîtrise de ses données par la personne. Les mineurs font également l'objet d'une protection particulière. Pour les entreprises, le Règlement prévoit une simplification des formalités, la possibilité d'un interlocuteur unique pour toutes les autorités de protection des données européennes et d'une mise à disposition d'une boite à outils de conformité dont certains seront nouveaux (ex. : code de conduite, certification). Ces outils pourront être modulés en fonction du risque sur les droits et libertés des personnes (ex. : tenue d'un registre, consultation des autorités de protection, notification des failles de sécurité). Pour les autorités de protection, le Règlement permet une affirmation de leurs compétences dès lors qu'il existe un établissement sur le territoire de l'Union ou que leurs citoyens sont affectés par le traitement, mais également un renforcement de leurs pouvoirs, notamment répressifs avec la possibilité de prononcer des sanctions administratives pouvant aller jusqu'à 4 % du chiffre d'affaires mondial de l'entreprise concernée. En outre, les "CNIL" européennes pourront désormais prononcer des décisions conjointes, aussi bien pour constater la conformité d'un organisme que pour prononcer une sanction. Le Règlement prévoit également une nouvelle architecture de coopération entre les autorités de protection avec un nouvel organe européen : le Comité européen de la protection des données (CEPD) en charge d'arbitrer les différends entre les autorités et également d'élaborer une doctrine "européenne". Cette entité, qui prend la suite du G29, verra son indépendance renforcée et pourra rendre des avis contraignants, notamment dans le cadre de procédures de sanctions. Les dispositions du Règlement seront directement applicables dans tous les Etats à partir du 25 mai 2018. A également été publiée au JOUE du 4 mai 2016, une Directive qui couvre, pour sa part, le traitement des données par le secteur de la police et de la justice pénale (Directive 2016/680 du 27 avril 2016
N° Lexbase : L9729K7H). Elle vise à assurer que les données des victimes, des témoins et des suspects de crimes soient dûment protégées dans le cadre d'une enquête pénale ou d'une action d'application de la loi.
© Reproduction interdite, sauf autorisation écrite préalable
