|
|
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN,
AU CONSEIL, AU COMITÉ ÉCONOMIQUE ET SOCIAL EUROPÉEN ET AU COMITÉ DES RÉGIONS
|
MEDDELANDE FRÅN KOMMISSIONEN TILL
EUROPAPARLAMENTET, RÅDET, EUROPEISKA EKONOMISKA SOCIALA KOMMITTEN SAMT
REGIONKOMMITTÉN
|
|
Protection de la vie privée dans un monde en réseau
Un cadre européen relatif à la protection des données, adapté aux défis du 21e siècle
|
Skydd av den personliga integriteten i en
uppkopplad värld
En europeisk ram för personuppgiftsskydd för tjugohundratalet
|
|
(Texte présentant de l’intérêt pour l’EEE)
|
(Text av betydelse för EES)
|
|
1.
LES DÉFIS ACTUELS EN MATIÈRE DE PROTECTION DES DONNÉES
|
1.
DAGENS UTMANINGAR INOM UPPGIFTSSKYDDET
|
|
La rapidité des évolutions technologiques et la mondialisation
modifient en profondeur la façon dont un volume sans cesse croissant de données
à caractère personnel est collecté, consulté, utilisé et transféré. De nouveaux
modes de partage de l’information via les réseaux sociaux et de stockage à
distance de grandes quantités de données sont entrés dans les habitudes de
nombre des 250 millions d’internautes en Europe. Parallèlement, les
données à caractère personnel sont devenues un atout pour de nombreuses
entreprises. La collecte, la globalisation et l’analyse de données concernant
des clients potentiels représentent souvent une part importante de leurs
activités économiques[1].
|
Den snabba tekniska utvecklingen och
globaliseringen har i grunden omdanat hur allt större mängder av
personuppgifter samlas in, sprids, används och överförs. Nya sätt att sprida
information genom sociala nätverk och fjärrlagring av stora datamängder har
blivit en del av vardagen för många av Europas 250 miljoner
internetanvändare. Samtidigt är personuppgifter en tillgång för många företag. Att
samla in, sammanställa och bedöma potentiella kunders uppgifter är ofta en
viktig del av näringsverksamheten[1].
|
|
Dans ce nouvel environnement numérique, les personnes
physiques ont le droit d’exercer une maîtrise effective sur leurs
données. En Europe, la protection des données est un droit fondamental qui
est consacré à l’article 8 de la charte des droits fondamentaux de l’Union
européenne ainsi qu’à l’article 16, paragraphe 1, du traité sur le
fonctionnement de l’Union européenne (TFUE), et qui doit être protégé en
conséquence.
|
I denna sköna nya digitala värld har den
enskilde rätt att åtnjuta verksam kontroll över sina personuppgifter. Skyddet
av den personliga integriteten är en grundläggande rättighet i Europa som
stadfästs i artikel 8 i Europeiska unionens stadga om de grundläggande
rättigheterna och i artikel 16.1 i fördraget om Europeiska unionens
funktionssätt, och integriteten måste alltså skyddas därefter.
|
|
S'ils n'ont pas confiance, les consommateurs hésiteront à
effectuer des achats en ligne et à recourir à de nouveaux services. Dès lors,
il est également impératif de garantir un niveau élevé de protection des
données pour accroître la confiance des consommateurs dans les services en
ligne et réaliser le potentiel de l’économie numérique, ce qui stimulera la
croissance économique et la compétitivité des entreprises de l’Union.
|
Bristande förtroende gör att konsumenterna tvekar
att handla på nätet eller ta till sig nya tjänster. Därför är ett starkt
uppgiftsskydd också en förutsättning för att öka förtroendet för nättjänsterna
och ta vara på den digitala ekonomins potential, och på så sätt uppmuntra ekonomisk
tillväxt och EU-företagens konkurrenskraft.
|
|
Des règles cohérentes et modernes applicables dans l’ensemble de
l’UE s’imposent pour permettre la libre circulation des flux de données d’un
État membre à l’autre. Les entreprises ont besoin de règles claires et
uniformes qui garantissent la sécurité juridique et allègent le plus possible
leurs charges administratives. Une telle évolution est essentielle pour que le
marché unique fonctionne sans heurts, stimule la croissance économique, crée
de nouveaux emplois et encourage l’innovation[2].
Une modernisation des règles de l’UE relatives à la protection des données,
qui renforce la dimension «marché intérieur» de ces dispositions, garantit aux
personnes physiques un niveau élevé de protection des données et crée des
conditions propices à la sécurité juridique, à la clarté et à la cohérence;
elle joue par conséquent un rôle crucial dans le plan d’action de la Commission
européenne mettant en œuvre le programme de Stockholm[3]
et dans la stratégie numérique pour l’Europe[4];
plus largement, elle contribue à la stratégie de croissance de l’Union
(stratégie Europe 2020)[5].
|
Moderna, konsekventa regler i hela EU behövs för
att uppgifterna ska kunna flöda fritt från en medlemsstat till en annan. Företagen
behöver för rättssäkerhetens skull tydliga, enhetliga regler som håller den
administrativa bördan så låg som möjligt. Det är viktigt för att den inre
marknaden ska kunna fungera och stimulera ekonomisk tillväxt, sysselsättning
och innovation[2].
Med modernare EU-regler om skydd av personuppgifter stärks den inre
marknaden, de enskilda får ett starkt skydd, och rättssäkerheten främjas, så
det innebär att reglerna har stor betydelse för kommissionens Stockholmsprogram[3], den digitala agendan för
Europa[4]
och i största allmänhet för EU:s tillväxtstrategi Europa 2020[5].
|
|
La directive[6]
de l’Union de 1995, instrument législatif principal de la protection des
données à caractère personnel en Europe, a posé un jalon dans l’histoire de la
protection des données. Ses objectifs, qui consistent à assurer le
fonctionnement du marché unique et la protection effective des libertés et
droits fondamentaux des personnes physiques, demeurent d’actualité. Mais elle a
été adoptée il y a 17 ans, à une époque où l’internet n’en était qu’à ses
premiers balbutiements. Dans le nouvel environnement numérique qui s'est créé,
avec ses défis, les règles en vigueur ne présentent ni le degré d’harmonisation
requis ni l’efficacité nécessaire pour garantir le droit à la protection des
données à caractère personnel. C’est pourquoi la Commission européenne propose
de réformer fondamentalement le cadre de la protection des données dans
l’Union.
|
EU:s dataskyddsdirektiv från 1995[6], den centrala rättsakten för
skydd av personuppgifter i EU, var en milstolpe i dataskyddets historia. Dess
mål, att garantera en väl fungerande inre marknad och skydda de enskildas
grundläggande fri- och rättigheter, är fortfarande relevanta. Det antogs dock
för 17 år sedan när internet låg i sin linda. I dagens nya, farofyllda
digitala miljö ger de befintliga reglerna varken den enhetlighet eller den
resurseffektivitet som krävs för skyddet av personuppgifter. Därför föreslår
kommissionen att EU:s dataskydd omdanas i grunden.
|
|
Le traité de Lisbonne a en outre introduit, à l’article 16
du TFUE, une base juridique nouvelle en vue d’une approche modernisée et
globale de la protection des données et de la libre circulation des données à
caractère personnel, qui couvre également la coopération policière et
judiciaire en matière pénale[7].
Cette approche s'est traduite dans les communications de la Commission
européenne relatives au programme de Stockholm et au plan d'action le mettant
en œuvre[8],
qui insistent sur la nécessité pour l’Union de «se doter d’un régime complet de
protection des données personnelles couvrant l’ensemble des compétences de
l’Union» et de «veiller à ce que le droit fondamental à la protection des
données soit appliqué systématiquement».
|
Dessutom tillfördes genom Lissabonfördraget en ny
rättslig grund, i form av artikel 16 i fördraget om Europeiska unionens
funktionssätt, för en modern, heltäckande hållning till dataskydd och fri
rörlighet för personuppgifter som även omfattar polisiärt och straffrättsligt
samarbete[7].
Hållningen återspeglas i kommissionens meddelanden om Stockholmsprogrammet och
Stockholmsplanen[8],
där det framhålls att EU bör ”utveckla ett enhetligt system för skydd av
personuppgifter som täcker alla unionens behörighetsområden” och ”se till att
den grundläggande rätten till skydd för personuppgifter tillämpas på ett
konsekvent sätt”.
|
|
Afin de préparer en toute transparence la réforme du cadre de
l’Union relatif à la protection des données, la Commission a organisé, depuis
2009, des consultations publiques sur la question[9];
elle a également noué un dialogue étroit avec les parties prenantes[10].
Le 4 novembre 2010, la Commission a publié une communication relative
à une approche globale de la protection des données à caractère personnel dans
l’Union européenne[11]
qui exposait les thèmes principaux de la réforme. Entre les mois de septembre
et de décembre 2011, la Commission a, en outre, pris part à un dialogue
renforcé avec les autorités nationales chargées de la protection des données en
Europe, d’une part, et avec le contrôleur européen de la protection des
données, d’autre part, afin d’étudier les possibilités d'assurer une
application plus cohérente des règles de l’Union relatives à la protection des
données dans l’ensemble des États membres[12].
|
För att förbereda reformen av EU:s dataskydd på
ett öppet sätt inledde kommissionen 2009 offentliga samråd om dataskydd[9] och förde en intensiv dialog
med de berörda parterna[10].
Den 4 november 2010 offentliggjorde kommissionen meddelandet Ett samlat
grepp på skyddet av personuppgifter i Europeiska unionen[11] där reformens huvuddrag
skisseras. Mellan september och december 2011 förde kommissionen en utökad
dialog med EU:s nationella dataskyddsmyndigheter och med Europeiska
datatillsynsmannen för att undersöka alternativen för en mer enhetlig
tillämpning av EU:s dataskyddsregler i alla EU:s medlemsstater[12].
|
|
Ces échanges ont fait clairement apparaître que les citoyens
comme les entreprises souhaitaient voir la Commission européenne procéder à une
réforme globale des règles de l’Union sur la protection des données. Après
avoir évalué les conséquences des différentes options politiques envisagées[13],
la Commission européenne propose à présent un cadre législatif solide et cohérent
qui transcende les politiques de l’Union, renforce les droits des
personnes physiques, consolide la dimension «marché unique» de la protection
des données et réduit les charges administratives pesant sur les entreprises[14].
Dans la proposition de la Commission, le nouveau cadre serait constitué par:
|
Av diskussionerna framkom tydligt att både enskilda
och företag vill att kommissionen ska göra en genomgripande reform av
dataskyddet i EU. Efter att ha bedömt konsekvenserna av olika alternativ[13] föreslår nu kommissionen en stark
och enhetlig rättslig ram över alla EU:s politikområden som ska stärka de enskildas
rättigheter, främja den inre marknaden på dataskyddsområdet och minska krånglet
för företagen[14].
Kommissionen föreslår följande komponenter:
|
|
–
un règlement (qui remplace la directive 95/46/CE) instituant
un cadre général de l’UE en matière de protection des données[15];
|
–
En förordning (som ersätter direktiv 95/46/EG)
med allmänna EU-regler om skydd av personuppgifter[15].
|
|
–
et une directive (qui remplace la
décision-cadre 2008/977/JAI[16])
énonçant des règles relatives à la protection des données à caractère personnel
traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes
et de poursuites en la matière, ainsi que d’activités judiciaires
connexes.
|
–
Ett direktiv (som ersätter rambeslut 2008/977/RIF[16]) med regler om skydd av
personuppgifter som behandlas i samband med förebyggande, utredning, avslöjande
eller lagföring av brott och därmed förbunden rättslig verksamhet.
|
|
La présente communication expose les éléments principaux de la
réforme du cadre de l’UE relatif à la protection des données.
|
I detta meddelande redovisas huvuddragen i
reformen av EU:s dataskydd.
|
|
2.
PERMETTRE AUX PERSONNES PHYSIQUES DE MAÎTRISER LES DONNÉES LES
CONCERNANT
|
2.
individEN SKA HA KONTROLL ÖVER SINA PERSONUPPGIFTER
|
|
La directive 95/46/CE, principal acte législatif de l’UE en
vigueur en matière de protection des données, n’harmonise pas suffisamment,
dans les États membres, les modalités d’exercice, par les personnes physiques,
du droit à la protection des données. Les pouvoirs conférés aux autorités
nationales chargées de la protection des données ne sont pas non plus
suffisamment harmonisés pour garantir l’application cohérente et effective des
règles en la matière. Aussi, exercer ces droits est-il, dans la pratique, plus
difficile dans certains États membres que dans d’autres, surtout dans
l’environnement en ligne.
|
Direktiv 95/46/EG, EU:s grundbult på området för
närvarande, leder inte till tillräckligt stor enhetlighet i medlemsstaterna för
hur enskilda kan utöva sin rätt till skydd av personuppgifter. Inte heller är
de nationella dataskyddsmyndigheternas befogenheter tillräckligt enhetliga för
att garantera en enhetlig, verkningsfull tillämpning av reglerna. Det innebär
att det är svårare i en del medlemsstater att i praktiken utöva sina
rättigheter, särskilt via nätet.
|
|
Ces difficultés sont également dues à l’importance du volume des
données collectées chaque jour et au fait que souvent, les utilisateurs n'ont
pas pleinement conscience que des données les concernant sont collectées. Bien
que de nombreux Européens considèrent que la communication de données à
caractère personnel est un phénomène de plus en plus fréquent aujourd'hui[17],
72 % des internautes en Europe sont encore préoccupés par le fait qu’il
leur soit demandé de communiquer en ligne trop de données les concernant[18].
Ils ont le sentiment de ne pas avoir la maîtrise des données qui les
concernent. Ils ne sont pas correctement informés du sort réservé à ce type de
données, de l'identité du destinataire et de la finalité de leur transmission.
Ils ignorent souvent les modalités d’exercice de leurs droits dans
l’environnement en ligne.
|
Dessa svårigheter beror också på den enorma mängd
data som samlas in varje dag och att användarna ofta inte är riktigt medvetna
om att uppgifter om dem samlas in. Även om många européer anser att utlämnande
av personuppgifter är en del av den moderna vardagen[17] oroar sig ändå 72 % av de
europeiska internetanvändarna för att de lämnar ifrån sig för mycket
personuppgifter på nätet[18].
De upplever att de inte har kontroll över sina personuppgifter. De vet inte
riktigt vad som händer med deras personuppgifter, till vem de lämnas ut och för
vilka ändamål. Ofta vet de inte heller hur de kan utöva sina rättigheter via nätet.
|
|
«Droit à l’oubli numérique»
|
”Rätten att bli glömd”
|
|
Un étudiant européen, membre d’un réseau social en
ligne, décide de demander l’accès à toutes les données qui le concernent et que
ce réseau détient. À cette occasion, il se rend compte que ce réseau social
collecte beaucoup plus de données que ce qu’il imaginait, et que certaines
données à caractère personnel dont il pensait qu’elles avaient été effacées
étaient toujours conservées.
|
En europeisk student är med i en social
nätverkstjänst på internet, och bestämmer sig för att begära ut alla
personuppgifter tjänsten har om honom. När han gör det inser han att tjänsten
samlar in mycket mer uppgifter än han var medveten om , och att en del
personuppgifter som han trodde hade raderats för länge sedan fortfarande lagras.
|
|
La réforme des dispositions de l’UE sur la protection
des données fera en sorte qu'un tel scénario ne soit plus possible, en
introduisant:
|
Reformen av EU:s dataskyddsregler ska
garantera att detta inte längre händer genom att det införs
|
|
- une obligation explicite imposant aux réseaux
sociaux en ligne (et à tous les autres responsables du traitement de données)
de limiter au minimum le volume des données à caractère personnel qu’ils
collectent et qu’ils traitent pour chaque utilisateur;
|
- ett uttryckligt krav på att sociala
nätverkstjänster (och andra registeransvariga) ska minimera mängden
personuppgifter om användare som de samlar in och behandlar,
|
|
- une obligation de configurer par défaut le système
d'une façon qui garantit que les données ne sont pas rendues publiques;
|
- ett krav på att den förvalda inställningen
ska vara att uppgifter inte är offentliga,
|
|
- une obligation expresse incombant aux responsables
du traitement d’effacer les données concernant une personne physique si cette
dernière en a explicitement demandé l’effacement et lorsqu’aucun autre motif
légitime ne justifie de les conserver.
Dans ce cas particulier, le fournisseur du réseau social serait ainsi tenu
d'effacer immédiatement et complètement les données concernant cet étudiant.
|
- en uttrycklig skyldighet för
registeransvariga att radera en individs personuppgifter om individen
uttryckligen begär det och det inte finns några legitima skäl att ha kvar
uppgifterna.
I det här fallet skulle alltså den sociala nätverkstjänsten vara skyldig att
omedelbart radera studentens personuppgifter fullständigt.
|
|
Ainsi que la Commission l’a mis en évidence dans la stratégie
numérique pour l’Europe, les préoccupations quant au respect de la vie privée
figurent parmi les raisons les plus fréquentes pour lesquelles les
consommateurs s'abstiennent d'acheter des produits et des services en ligne. Vu
la contribution du secteur des technologies de l’information et des
communications (TIC) à l’augmentation globale de la productivité en Europe, due
pour 20 % directement au secteur des TIC et pour 30 % aux
investissements réalisés dans les TIC[19],
la confiance dans les services de cette nature est essentielle pour stimuler la
croissance de l’économie dans l’Union européenne et la compétitivité de son
industrie.
|
Som framhålls i den digitala agendan för Europa är
oro för den personliga integriteten ett av de vanligaste skälen som nämns för
att inte köpa varor eller tjänster över nätet. Med tanke på informations- och
kommunikationsteknikens (IKT) bidrag till den totala produktivitetstillväxten i
Europa, närmare bestämt 20 % direkt i IKT-sektorn och 30 % från
investeringar i IKT[19],
är förtroendet för de här tjänsterna avgörande för att stärka den ekonomiska
tillväxten i EU och främja det europeiska näringslivets konkurrenskraft.
|
|
Notification des violations
de données
|
Varningar om
dataintrång
|
|
Des pirates informatiques ont pris pour cible un
service de jeux qui s’adresse à des clients établis sur le territoire de l’UE.
La violation a touché des bases de données contenant des informations à
caractère personnel (dont les noms et adresses, voire les numéros de carte de
crédit) de dizaines de millions de clients dans le monde entier. La société
prestataire a attendu une semaine avant d’en avertir les clients concernés.
|
Hackare angrep en speltjänst med många
användare i EU. Intrånget berörde databaser med personuppgifter (bl.a. namn,
adress och ev. kreditkortsnummer) för tiotals miljoner användare i hela världen.
Företaget väntade en vecka med att varsko de drabbade användarna.
|
|
Grâce à la réforme des dispositions de l’UE sur la
protection des données, un tel incident ne pourra plus se produire: Les
nouvelles dispositions obligeront les sociétés:
|
Genom reformen av dataskyddet i EU ska detta
inte längre kunna hända. Med de nya reglerna blir företagen skyldiga
|
|
- à renforcer leurs dispositifs de sécurité pour
prévenir et éviter les violations de données;
|
- att skärpa sin säkerhet för att förebygga
intrång,
|
|
- à notifier sans retard indu les violations de
données tant à l’autorité nationale chargée de la protection des données – si
possible, dans les 24 heures suivant la découverte de la violation –
qu’aux personnes physiques concernées.
|
- att anmäla dataintrång till den nationella
dataskyddsmyndigheten, om möjligt inom ett dygn efter det att intrånget
upptäcktes, och varsko de berörda användarna utan otillbörliga dröjsmål.
|
|
Les nouvelles propositions législatives présentées par la
Commission visent à renforcer les droits des personnes physiques, à les doter
de moyens efficaces et opérationnels pour garantir qu’elles aient pleinement
connaissance du sort réservé aux données les concernant, et à leur permettre
d’exercer leurs droits de façon plus effective.
|
Målet med kommissionens nya lagförslag är att
stärka rättigheterna, ge människorna effektiva, verksamma sätt att se till att
de är helt underrättade om vad som händer med deras personuppgifter och ge dem
möjlighet att utöva sina rättigheter med verkningsfullt.
|
|
En vue de renforcer le droit des personnes physiques à la
protection des données, la Commission propose de nouvelles règles qui:
|
För att stärka individens rätt till skydd av
personuppgifter föreslår kommissionen nya regler med följande syften:
|
|
permettront aux personnes physiques de mieux maîtriser les
données les concernant:
|
Förbättra individens möjlighet att kontrollera
sina personuppgifter
|
|
- en faisant en sorte que, lorsque leur consentement
est exigé, celui-ci soit explicitement formulé, c’est-à-dire qu’il
repose soit sur une déclaration, soit sur un acte non équivoque de l'intéressé,
et qu’il soit donné librement;
|
- Det ska garanteras att när en individs samtycke
behövs ska det ges uttryckligt, dvs. ta formen av ett uttalande eller
en tydligt jakande handling av den berörda individen och lämnas frivilligt.
|
|
- en dotant les internautes d’un droit effectif à
l’oubli numérique dans l’environnement en ligne, c’est-à-dire le
droit de faire effacer les données les concernant s’ils retirent leur
consentement et si aucun autre motif légitime ne justifie la conservation de
celles-ci;
|
- Internetanvändare ska ha en verkningsfull ”rätt
att bli glömd” på nätet, dvs. rätt att få sina uppgifter raderade om de
drar tillbaka sitt samtycke och det inte finns några legitima skäl att ha kvar
uppgifterna.
|
|
- en leur garantissant un accès aisé à leurs propres
données et un droit à la portabilité de celles-ci: c’est-à-dire le droit
d’obtenir du responsable du traitement une copie des données conservées et la
liberté de les transférer d’un prestataire de services à un autre, sans
entrave;
|
- Det ska garanteras att man har lätt
tillgång till sina egna uppgifter och har rätt till medflyttbarhet av
uppgifter, dvs. rätt att få en kopia av de lagrade uppgifterna från den
registeransvariga och frihet att flytta dem till en annan tjänsteleverantör
utan hinder.
|
|
- en renforçant le droit à l’information,
afin que chacun comprenne pleinement le mode de traitement des données les
concernant, en particulier lorsque ces traitements concernent les enfants;
amélioreront les moyens dont disposent les personnes physiques pour exercer
leurs droits:
|
- Rätten till information ska stärkas så att individer verkligen förstår hur deras
personuppgifter hanteras, särskilt när behandlingen rör barn.
Förbättra individens sätt att utöva sina rättigheter
|
|
- en renforçant l’indépendance et les pouvoirs des
autorités nationales chargées de la protection des données, de manière à ce
qu’elles soient à même de traiter les réclamations de manière effective en
ayant le pouvoir de mener des enquêtes efficaces, de prendre des décisions
contraignantes et d’imposer des sanctions effectives et dissuasives;
|
- De nationella dataskyddsmyndigheternas
oberoende och befogenheter ska stärkas, så att de står rustade att
verkningsfullt ta itu med klagomål, genomföra utredningar, fatta bindande
beslut och påföra verkningsfulla och avskräckande sanktioner.
|
|
- en améliorant les possibilités de former des recours
administratifs et juridictionnels en cas de violation des droits
relatifs à la protection des données. En particulier, les associations qui
satisfont à certaines conditions pourront saisir les tribunaux au nom de la
personne physique concernée;
|
- Förvaltningsrättsliga medel och andra
rättsmedel ska skärpas när skyddet av personuppgifter kränks. Särskilt
ska kvalificerade sammanslutningar kunna väcka talan inför rätta för en
individs räkning.
|
|
renforceront la sécurité des données:
|
Stärkt datasäkerhet
|
|
- en encourageant l’utilisation de technologies
renforçant la protection de la vie privée (c’est-à-dire de technologies qui
protègent la confidentialité des informations en réduisant au minimum la
conservation de données à caractère personnel), d’un paramétrage par
défaut respectueux de la vie privée et de régimes de certification du
respect de la vie privée;
|
- Användningen av integritetsstärkande
teknik (teknik som skyddar den personliga integriteten genom att den mängd personuppgifter
som lagras hålls så liten som möjligt), integritetsvänliga standardinställningar
och system för integritetsmärkning ska uppmuntras.
|
|
- en introduisant une obligation générale[20]
imposant aux responsables du traitement de notifier sans retard indu
les violations de données tant aux autorités chargées de la protection
de celles-ci (si possible dans un délai de 24 heures) qu’aux personnes
physiques concernées;
|
- Det införs ett generellt krav[20] att registeransvariga ska
anmäla dataintrång utan otillbörliga dröjsmål till dataskyddsmyndigheterna (om
möjligt inom ett dygn) och varsko de berörda användarna.
|
|
accroîtront la responsabilité des personnes traitant les
données, notamment:
|
Öka möjligheterna att utkräva ansvar av dem
som behandlar personuppgifter
|
|
- en exigeant des responsables du traitement dans
les sociétés employant plus de 250 salariés et dans celles qui
interviennent dans les traitements à risques qui, du fait de leur nature, de
leur portée ou de leur finalité, présentent des risques particuliers au regard
des droits et libertés des personnes physiques («traitements à
risques»), qu’ils désignent un délégué à la protection des données;
|
- Registeransvariga
ska utse en dataskyddsansvarig vid företag med över 250 anställda
och företag som sysslar med databehandling som på grund av behandlingens slag,
omfattning eller ändamål medför särskilda risker för enskildas fri- och
rättigheter (s.k. riskabel behandling).
|
|
- en introduisant le principe de «protection des données
dès la conception» pour faire en sorte que les garanties en matière de
protection des données soient prises en considération dès la phase de
planification des procédures et des systèmes de traitement;
|
- Principen om ”inbyggd integritet”
införs, så att dataskyddet tas i beaktande vid utformningen av rutiner och
system.
|
|
- en introduisant l’obligation, pour les organisations
associées à des traitements à risques, d’effectuer des analyses d’impact
relatives à la protection des données.
|
- Det införs en skyldighet att utföra konsekvensbedömningar
för dataskydd vid organisationer som sysslar med riskabel behandling.
|
|
3.
DES RÈGLES DE PROTECTION DES DONNÉES ADAPTÉES AU MARCHÉ UNIQUE NUMÉRIQUE
|
3.
dataSKYDDSREGLER SOM PASSAR DEN INRE MARKNADEN
|
|
Bien que la directive en vigueur vise à garantir un niveau
équivalent de protection des données dans l’ensemble de l’UE, les règles
adoptées par les États membres divergent encore considérablement. Il n’est dès
lors pas exclu que les responsables du traitement doivent composer avec
27 législations nationales prévoyant des obligations différentes. Il
s’ensuit une fragmentation de l'environnement juridique qui a engendré
une insécurité juridique et une protection inégale des personnes
physiques. Cette situation génère des coûts et des charges administratives
inutiles qui pèsent sur les entreprises et constitue un frein pour celles
qui sont présentes sur le marché unique et qui souhaiteraient étendre leurs
activités à d'autres États membres.
|
Trots det gällande direktivets mål att garantera
en likvärdig nivå på dataskyddet i EU finns det fortfarande avsevärda skillnader
i medlemsstaternas regler. Därför måste registeransvariga hantera 27 olika
nationella rättsordningar och kravlistor. Följden är en splittrad rättslig
miljö som skapat ett oklart rättsläge och olika skydd för
individerna. En annan följd är onödiga kostnader och administrativa bördor för
företag, vilket avskräcker företag med verksamhet på den inre marknaden från
att expandera sin verksamhet till andra länder.
|
|
Les ressources et les pouvoirs dont disposent les autorités
nationales chargées de la protection des données varient sensiblement d’un État
membre à l’autre[21].
Ceci se traduit dans certains cas par l’incapacité de ces autorités à exercer
leur mission répressive de manière satisfaisante. La coopération entre ces
autorités à l’échelle européenne, au sein du groupe consultatif existant (le
«groupe de travail Article 29»)[22],
n’aboutit pas toujours à une application cohérente des règles relatives à la
protection des données et appelle par conséquent des améliorations.
|
De nationella dataskyddsmyndigheternas resurser
och befogenheter varierar avsevärt mellan medlemsstaterna[21]. I några fall är de oförmögna
att utöva en tillfredsställande tillsyn. Samarbetet mellan dessa myndigheter på
EU-nivå i den befintliga rådgivande arbetsgruppen (den s.k.
artikel 29-gruppen)[22]
utmynnar inte alltid i en konsekvent lagtillämpning och behöver alltså
förbättras.
|
|
Application cohérente, dans l’ensemble de l’Europe,
des règles relatives à la protection des données
|
Enhetlig tillämpning av dataskyddsreglerna i
EU
|
|
Une entreprise multinationale détenant plusieurs
établissements sur le territoire de l’Union a déployé dans toute l’Europe un
système de cartographie en ligne qui collecte des images de tous les édifices
privés et publics et peut, le cas échéant, photographier des personnes dans la
rue. Dans un État membre, l’insertion de photos non floutées de personnes
ignorant qu’elles étaient photographiées a été considérée comme illégale,
tandis que dans d’autres, cette pratique ne constituait pas une infraction à la
législation sur la protection des données. Cette situation n’a pas permis de
dégager une position cohérente entre autorités nationales chargées de la
protection des données pour remédier au problème.
|
Ett multinationellt företag med flera
driftsställen i EU har tagit i drift ett nätbaserat karteringssystem i Europa
som samlar in bilder av alla privata och offentliga byggnader och ibland även
bilder av människor på gatan. En medlemsstat fann att lagring av omaskerade bilder
av människor som inte var medvetna om att de blev fotograferade var olaglig,
medan en annan medlemsstat fann att det inte stred mot skyddet av den
personliga integriteten. Således reagerade inte de nationella
dataskyddsmyndigheterna enhetligt för att råda bot på denna situation.
|
|
Grâce à la réforme des règles de l’UE sur la
protection des données, ce cas de figure ne pourra plus se présenter à
l'avenir, parce que:
|
Med reformen av dataskyddet i EU garanteras
det att så inte sker framöver, eftersom
|
|
- les exigences et garanties en matière de protection
des données seront énoncées dans un règlement de l’Union directement applicable
dans l’ensemble du territoire de celle-ci;
|
- dataskyddskraven och säkerhetsåtgärderna ska
anges i en EU-förordning som får direkt tillämplighet i hela EU,
|
|
- seule l’autorité chargée de la protection des
données dans l’État membre où la société a son établissement principal sera
compétente pour se prononcer sur la légalité du comportement de celle-ci;
|
- bara den dataskyddsmyndighet där företaget
har sitt huvudsakliga driftsställe blir ansvarig för att avgöra om företaget
håller sig inom lagens råmärken,
|
|
- la coordination rapide et efficace entre autorités
nationales chargées de la protection des données, le service étant proposé à
des personnes physiques dans plusieurs États membres, contribuera à garantir
une application et un respect cohérents des nouvelles règles de l’UE relatives
à la protection des données dans l’ensemble des États membres.
|
- snabb och verkningsfull samordning mellan de
nationella dataskyddsmyndigheterna, (tjänsten riktar sig ju till individer i
flera medlemsstater) kommer att bidra till att EU:s nya dataskyddsregler kommer
att tillämpas enhetligt i alla medlemsstater.
|
|
Il convient de mieux armer les autorités nationales et de
renforcer leur coopération pour garantir la mise en œuvre cohérente et, en
définitive, l’application uniforme des règles dans l’ensemble de l’UE.
|
De nationella myndigheterna behöver mer resurser
och samarbetet mellan dem behöver utökas för att garantera enhetlig tillämpning
av reglerna i hela EU.
|
|
Un cadre législatif solide, clair et uniforme au niveau de
l’Union contribuera à libérer le potentiel du marché unique numérique et à
promouvoir la croissance économique, l’innovation et la création d’emplois.
L'adoption d'un règlement mettra fin à la fragmentation des régimes juridiques entre
les 27 États membres et supprimera les obstacles à l’entrée sur le marché,
élément qui revêt une importance particulière pour les micro‑entreprises
ainsi que pour les petites et moyennes entreprises.
|
En stark, tydlig och enhetlig EU-lagstiftning
kommer att bidra till att förverkliga den digitala inre marknadens potential
och främja ekonomisk tillväxt. innovation och nya jobb. Med en förordning
försvinner splittringen i form av 27 olika nationella rättsordningar, samtidigt
som hindren för marknadstillträde sänks, något som är särskilt viktigt för
mikroföretag, småföretag och medelstora företag.
|
|
Grâce aux nouvelles dispositions, les sociétés établies dans
l’Union bénéficieront en outre d’un avantage dans la concurrence mondiale. Le
cadre réglementaire réformé leur permettra en effet de donner à leurs clients
l’assurance qu’elles traiteront avec la diligence et le soin requis toute
information importante à caractère personnel. La confiance dans un régime
réglementaire cohérent institué par l’UE constituera un atout majeur pour les
prestataires de services et une incitation pour les investisseurs qui sont à
l’affût de conditions optimales lorsqu'ils choisissent un site pour implanter
leurs services.
|
De nya reglerna ger också EU-företagen en fördel i
konkurrensen på världsmarknaden. Med de nya reglerna kan de försäkra sina
kunder att värdefulla personuppgifter kommer att förvaltas med vederbörlig
omsorg och vaksamhet. Förtroendet för de enhetliga EU-reglerna blir en
konkurrensfördel för tjänsteföretag och ett incitament för investerare som
letar efter de bästa villkoren när de bestämmer var tjänsterna ska vara belägna.
|
|
Afin d’accroître la dimension «marché intérieur» de la
protection des données, la Commission propose:
|
För att stärka dataskyddets inremarknadsaspekter
föreslår kommissionen följande:
|
|
- d’établir, au niveau de l’UE, des règles relatives à la
protection des données au moyen d’un règlement directement applicable dans
tous les États membres[23]
qui mettra fin à l’application cumulative et simultanée de législations
nationales différentes en la matière. Cela représentera pour les entreprises
une économie annuelle nette d'environ 2,3 milliards d’euros
uniquement en charges administratives;
|
- Fastställa dataskyddsreglerna på EU-nivå i
form av en förordning som är direkt tillämplig i alla medlemsstater[23], vilket innebär att man inte
längre måste tillämpa olika nationella dataskyddslagar samtidigt och ovanpå
varandra. På så sätt sparar företagen omkring 2,3 miljarder euro netto
om året enbart på minskade administrativa bördor.
|
|
- de simplifier l’environnement réglementaire en
réduisant considérablement les charges administratives et en supprimant des
formalités telles que les obligations générales de notification (ce qui
permettra de réaliser des économies annuelles nettes de 130 millions
d’euros pour les charges administratives uniquement). Compte tenu de leur
importance pour la compétitivité de l’économie européenne, une attention
particulière est accordée aux besoins spécifiques des micro‑entreprises
ainsi qu'à ceux des petites et moyennes entreprises;
|
- Förenkla reglerna, minska krånglet
drastiskt och avskaffa formkrav såsom generell anmälningsplikt (vilket
innebär besparingar på 130 miljoner euro netto om året enbart i form av
minskade administrativa bördor). Med tanke på mikroföretagens, småföretagens
och de medelstora företagens betydelse för den europeiska ekonomisk
konkurrenskraft ska särskild uppmärksamhet ägnas deras behov.
|
|
- d’accroître davantage l’indépendance et les
pouvoirs des autorités nationales chargées de la protection des données
pour leur permettre de mener des enquêtes, d’arrêter des décisions
contraignantes et d'infliger des sanctions effectives et dissuasives; la
Commission propose également d’obliger les États membres à les doter de ressources
suffisantes à cette fin;
|
- Stärka de nationella
dataskyddsmyndigheternas oberoende och befogenheter så att de kan utföra
utredningar, fatta bindande beslut och påföra verkningsfulla, avskräckande
sanktioner samt ålägga medlemsstaterna att ge myndigheterna tillräckliga
resurser för detta.
|
|
- d’instituer un système de «guichet unique» pour la
protection des données dans l’UE: les responsables du traitement dans l’UE
n’auront plus qu’une seule autorité chargée de la protection des données
comme interlocuteur, à savoir celle de l’État membre dans lequel est situé
l’établissement principal de la société;
|
- Sätta upp ett system med en enda instans
för dataskyddet i EU: registeransvariga i EU behöver bara vända sig till en
enda dataskyddsmyndighet, nämligen den i den medlemsstat där företagets
huvudsakliga driftsställe är etablerat.
|
|
- de créer les conditions propices à une coopération
rapide et efficace entre autorités chargées de la protection des données,
notamment en imposant à chacune l'obligation d’effectuer des enquêtes et des
inspections à la demande d’une autre, et de reconnaître mutuellement leurs
décisions;
|
- Skapa förutsättningar för snabbt,
effektivt samarbete mellan dataskyddsmyndigheterna, vilket innefattar en
skyldighet för en myndighet att utföra utredningar och inspektioner på en annan
myndighets begäran och ömsesidigt erkänna varandras beslut.
|
|
- de mettre sur pied un mécanisme de contrôle de la
cohérence au niveau de l’Union pour faire en sorte que les décisions des
autorités chargées de la protection des données ayant une portée européenne
plus large tiennent pleinement compte des avis émis par d’autres autorités
concernées et soient entièrement conformes au droit de l’Union;
|
- Inrätta en mekanism för enhetlighet på
EU-nivå för att se till att de beslut av dataskyddsmyndigheterna som får vidare
verkan i EU fattas med beaktande av de andra myndigheternas åsikter och
överensstämmer med EU-rätten.
|
|
- d’accroître l’importance du groupe de travail
«Article 29» en le transformant en un comité européen de la protection
des données indépendant, afin de renforcer sa contribution à l’application
cohérente de la législation relative à la protection des données et d’offrir
une base de coopération solide entre autorités chargées de la protection des
données, en y associant le contrôleur européen de la protection des données, et
d'intensifier les synergies et l’efficacité en prévoyant que le secrétariat du
Comité européen de la protection des données sera assuré par le Contrôleur
européen de la protection des données.
|
- Uppgradera artikel 29-gruppen till en
oberoende europeisk dataskyddsstyrelse för att stärka dess bidrag
till enhetlig tillämpning av dataskyddsrätten, ge en fast grund för samarbetet
mellan dataskyddsmyndigheterna (inklusive Europeiska datatillsynsmannen) och
stärka samverkansfördelarna och genomslaget genom att föreskriva att Europeiska
dataskyddsstyrelsens sekretariat ska tillhandahållas av Europeiska
datatillsynsmannen.
|
|
Le nouveau règlement garantira une sauvegarde solide du droit
fondamental à la protection des données dans l’ensemble de l’Union européenne
et améliorera le fonctionnement du marché unique. Parallèlement - compte tenu
du fait, souligné par la Cour de justice de l'Union européenne[24],
que le droit à la protection des données à caractère personnel n’apparaît pas
comme une prérogative absolue, mais doit être pris en considération par rapport
à sa fonction dans la société[25]
et qu'il doit être mis en balance avec d'autres droits fondamentaux conformément
au principe de proportionnalité[26]
-, le nouveau règlement comprendra des dispositions expresses qui garantiront
le respect d’autres droits fondamentaux tels que la liberté d’expression et
d’information, le droit de se défendre ainsi que le droit au secret
professionnel (notamment pour les professions juridiques) sans porter atteinte
au statut des églises tel qu'il est défini dans les législations nationales.
|
Tack vare den nya förordningen får den
grundläggande rättigheten till skydd av den personliga integriteten ett starkt
skydd i hela EU, samtidigt som den inre marknadens funktion stärks. Eftersom
skyddet av personuppgifter enligt EU-domstolens rättspraxis[24] inte är en ovillkorlig rätt
utan måste betraktas i ljuset av sin samhällsfunktion[25] och ställas mot andra
grundläggande rättigheter i enlighet med proportionalitetsprincipen[26] kommer förordningen samtidigt
att innehålla uttryckliga stadganden för att garantera skyddet av andra
grundläggande rättigheter såsom yttrande- och informationsfriheten, rätten till
försvar, tystnadsplikten (t.ex. för jurister) och kyrkors ställning enligt
medlemsstaternas rättsordningar.
|
|
4.
L’UTILISATION DE DONNÉES DANS LA COOPÉRATION EN MATIÈRE DE POLICE ET DE
JUSTICE PÉNALE
|
4.
ANVÄNDNING AV PERSONUPPGIFTER I POLISIÄRT OCH STRAFFRÄTTSLIGT
SAMARBETE
|
|
L’entrée en vigueur du traité de Lisbonne et, notamment, la
l’introduction d’une nouvelle base juridique (l’article 16 du TFUE)
permettent à l’Union d’instaurer un cadre global pour la protection des données
qui garantit un niveau élevé de protection des données à caractère personnel
tout en respectant les spécificités du domaine de la coopération policière et
judiciaire en matière pénale. Le cadre révisé de l’UE relatif à la protection
des données peut notamment s’appliquer aux traitements aussi bien transfrontières
que nationaux de données à caractère personnel. Les différences existant entre
les législations nationales pourraient ainsi être atténuées, au bénéfice
probable de la protection des données à caractère personnel considérée dans son
ensemble. Cette nouvelle donne pourrait également contribuer à faciliter
l'échange d’informations entre les autorités policières et judiciaires
nationales et, de ce fait, améliorer la coopération dans la lutte contre les
formes graves de criminalité en Europe. À l’heure actuelle, le traitement de
données par les autorités policières et judiciaires en matière pénale est
essentiellement régi par la décision‑cadre 2008/977/JAI, antérieure
à l’entrée en vigueur du traité de Lisbonne. La Commission n’a pas le pouvoir
d'en faire respecter les dispositions, car il s’agit d’une décision-cadre, ce
qui a contribué au caractère disparate de sa transposition. Le champ
d’application de la décision-cadre est en outre limité aux traitements à
caractère transfrontière[27].
En d’autres termes, le traitement de données à caractère personnel qui n’ont
pas été échangées ne relève pas, à l'heure actuelle, des dispositions de l’UE
qui régissent ce type de traitement et protègent le droit fondamental à la
protection des données. Il en résulte aussi, dans certains cas, des difficultés
pratiques pour la police et d’autres autorités, qui peuvent avoir du mal à
déterminer le caractère purement national ou transfrontière d’un traitement de
données, ou à deviner si des données «nationales» sont susceptibles de faire
l’objet d’un échange transfrontière ultérieur[28].
|
I och med att Lissabonfördraget trädde i kraft
infördes en ny rättslig grund (artikel 16 i fördraget om Europeiska
unionens funktionssätt) som gör det möjligt att fastställa heltäckande
dataskyddsregler som garanterar ett starkt skydd för enskildas personuppgifter,
och samtidigt tar hänsyn till särdragen hos det polisiära och straffrättsliga
samarbetet. Särskilt blir det med den nya rättsliga grunden möjligt att låta
EU:s nya dataskyddsregler täcka både gränsöverskridande och inhemsk behandling
av personuppgifter. Detta skulle minska skillnaderna mellan medlemsstaternas
lagstiftning och antagligen stärka skyddet av personuppgifter generellt. Det
torde också leda till smidigare informationsutbyte mellan medlemsstaternas
polisk och rättsväsende och därigenom förbättra samarbetet i kampen mot
allvarlig brottslighet i EU. Polisens och rättsväsendets behandling av
personuppgifter i straffrättsliga frågor regleras för närvarande främst i
rambeslut 2008/977/RIF, som trädde i kraft före Lissabonfördraget. Eftersom
det är ett rambeslut har kommissionen ingen befogenhet att se till att det
efterlevs, vilket har bidragit till att det tillämpas olika. Dessutom omfattar
rambeslutet bara gränsöverskridande behandling av uppgifter[27]. Det innebär att om
personuppgifterna inte överförts till ett annat land omfattas de inte av
EU-reglerna om behandling och skydd av personuppgifter. Detta innebär också i
vissa fall praktiska problem för polis och andra rättsvårdande myndigheter,
eftersom det inte alltid är uppenbart om behandlingen är rent inhemsk eller
gränsöverskridande, eller för den delen förutse om inhemska uppgifter i ett
senare skede kan komma att överföras till ett annat land[28].
|
|
Le nouveau cadre réformé de l’UE relatif à la protection des
données vise dès lors à garantir un niveau élevé et cohérent de protection des
données afin de renforcer la confiance mutuelle entre les
autorités policières et judiciaires d'États membres différents, facilitant
ainsi la libre circulation des données, ainsi que l'efficacité de la
coopération entre ces mêmes autorités.
|
Syftet med EU:s nya dataskyddsregler är därför en
enhetligt hög nivå på skyddet av personuppgifter för att stärka förtroendet
mellan polis och rättsvårdande myndigheter i olika medlemsstater och på så sätt
bidra till ett fritt flöde av personuppgifter och verkningsfullt samarbete
mellan polis och rättsväsende.
|
|
Pour garantir un niveau élevé de protection des données à
caractère personnel dans le domaine de la coopération policière et judiciaire
en matière pénale et faciliter les échanges de ces données entre les autorités
policières et judiciaires nationales, la Commission propose, parmi les mesures
prévues dans le train de réformes, une directive qui:
|
För att ombesörja ett starkt skydd av
personuppgifter inom polisiärt och straffrättsligt samarbete och underlätta
överföringar av personuppgifter mellan medlemsstaternas polis och rättsliga
myndigheter föreslår kommissionen som en del av dataskyddspaketet ett direktiv
enligt följande:
|
|
- appliquera les principes généraux en matière de
protection des données à la coopération policière et à la coopération
judiciaire en matière pénale, tout en respectant les spécificités de ces
domaines[29];
|
- Generella dataskyddsprinciper som ska
tillämpas på polisiärt och straffrättsligt samarbete
under hänsynstagande till dessa områdens särdrag[29].
|
|
- prévoira des conditions et critères harmonisés a minima
relatifs à d'éventuelles limitations apportées aux règles
générales. Il s'agit notamment du droit des personnes physiques d’être
informées lorsque les autorités policières ou judiciaires traitent ou
consultent des données les concernant. Ces limitations sont nécessaires pour
garantir l’efficacité de la prévention et de la détection des infractions
pénales, des enquêtes et des poursuites en la matière;
|
- Harmoniserade minimikrav och
villkor för inskränkningar av de generella reglerna. Detta omfattar bl.a.
enskildas rätt att informeras när polis eller rättsliga myndigheter behandlar
eller läser personuppgifter om dem. Sådana inskränkningar är nödvändiga för att
verkningsfullt förebygga, utreda, uppspåra eller beivra brott.
|
|
- instaurera un régime spécial pour prendre en
considération la nature particulière des activités répressives, notamment
une distinction entre diverses catégories de personnes concernées par
les données (telles que les témoins et les suspects), dont les droits
peuvent être différents.
|
- Särskilda regler anpassade till
den rättsvårdande verksamhetens särdrag, bl.a. en distinktion mellan olika kategorier
av registrerade som kan ha olika rättigheter (t.ex. vittnen och misstänkta).
|
|
5.
LA PROTECTION DES DONNÉES DANS LE CONTEXTE DE LA MONDIALISATION
|
5.
SKYDD AV PERSONUPPGIFTER I EN GLOBALISERAD VÄRLD
|
|
Les droits des personnes physiques doivent continuer d'être
garantis lorsque des données à caractère personnel sont transférées de l’Union
européenne vers des pays tiers, et dès que des prestataires de services établis
dans des pays tiers ciblent des personnes physiques dans les États membres et
utilisent ou analysent les données qui les concernent. Par conséquent, les
normes de l’UE en matière de protection des données doivent s’appliquer quelle
que soit la localisation géographique d’une société ou de son service de
traitement des données.
|
Individernas rättigheter måste garanteras även när
personuppgifter överförs från EU till omvärlden, och när individer i EU:s
medlemsstater blir måltavla och deras personuppgifter används eller analyseras
av företag utanför EU. Det innebär att EU:s krav på uppgiftsskydd måste gälla
oavsett var ett företag eller dess behandlingsanläggning ligger rent
geografiskt.
|
|
Dans le contexte de mondialisation actuel, les données à
caractère personnel sont transférées par delà un nombre croissant de frontières
virtuelles et géographiques et conservées sur des serveurs situés dans de nombreux
pays. Les sociétés sont plus nombreuses à offrir des services d’informatique en
nuage, qui permettent à leurs clients de consulter et de stocker des données
sur des serveurs distants. Ces éléments plaident en faveur d’une amélioration
des mécanismes actuels de transfert de données vers les pays tiers. Il peut
s'agir notamment de décisions relatives au caractère adéquat de la protection -
c’est‑à‑dire des décisions certifiant que les normes de protection
des données en vigueur dans des pays tiers sont «adéquates» - et de garanties
appropriées telles que des clauses contractuelles types ou des règles
d’entreprise contraignantes[30],
de manière à garantir un niveau élevé de protection des données dans les
traitements internationaux et à faciliter les flux transfrontières de données.
|
I dagens globaliserade värld överförs
personuppgifter över allt fler virtuella och geografiska gränser och lagras på
servrar i många länder. Alltfler företag erbjuder molntjänster, så att kunderna
kan hämta och lagra data på fjärrservrar. Det innebär att de nuvarande formerna
för överföring av data till länder utanför EU behöver förbättras, bl.a. i fråga
om beslut om huruvida uppgiftsskyddet i utomeuropeiska länder adekvat och
lämpliga skyddsåtgärder såsom standardklausuler i avtal eller bindande
företagsregler[30],
för att garantera ett fullgott skydd för personuppgifter vid behandling
utomlands och för att underlätta flödet av personuppgifter över gränserna.
|
|
Les règles d’entreprise contraignantes
|
Bindande företagsregler
|
|
Un groupe de sociétés doit régulièrement transférer
des données à caractère personnel de ses sociétés apparentées établies sur le
territoire de l’UE à celles situées dans des pays tiers. Le groupe souhaiterait
introduire un ensemble de règles d’entreprise contraignantes (REC) pour se
conformer à la législation de l'Union tout en limitant les obligations
administratives afférentes à chaque transfert. Dans la pratique, les REC
garantissent l’application d’un corps unique de règles dans l'ensemble du
groupe au lieu de devoir conclure un contrat interne pour chacun des
transferts.
|
En koncern behöver med jämna mellanrum
överföra personuppgifter från sina dotterbolag i EU till dotterbolag utanför EU.
Koncernen vill införa en uppsättning bindande företagsregler för att följa EU-lagstiftningen
och samtidigt begränsa administrationen för varje enskild överföring. Med
bindande företagsregler kan man på ett praktiskt sätt se till att samma regler
gäller hela koncernen i stället för diverse avtal mellan företagen i koncernen.
|
|
Conformément aux pratiques en vigueur convenues au
sein du groupe de travail «Article 29», la reconnaissance du caractère
adéquat des garanties prévues par les REC d’une société exige un contrôle
approfondi par trois autorités chargées de la protection des données (une
autorité «chef de file» et deux autorités «examinatrices»); plusieurs autres
autorités peuvent cependant elles aussi formuler des commentaires. Les
législations de nombreux États membres subordonnent en outre les transferts
régis par des REC à l’obtention d’autorisations nationales supplémentaires, ce
qui rend le processus d’adoption de ces REC très lourd, onéreux, long et
complexe.
|
Enligt rådande praxis, som överenskommits i
artikel 29-gruppen, behöver ett företags bindande regler gås igenom
grundligt av tre dataskyddsmyndigheter (en föredragande och två bisittare) för
att godkännas som garantier för en adekvat skyddsnivå, och andra dataskyddsmyndigheter
får lämna synpunkter. Vidare krävs enligt många medlemsstaters lagstiftning
ytterligare nationella tillstånd för överföringar enligt de bindande
företagsreglerna, och det gör det väldigt betungande, kostsamt, långdraget och
svårt att få dem godkända.
|
|
Après la réforme de la protection des données,
|
Med de nya dataskyddsreglerna
|
|
- ce processus sera plus simple et davantage
rationalisé;
|
- blir processen enklare och mer
strömlinjeformad,
|
|
- les REC ne seront plus validées que par une seule
autorité chargée de la protection des données, tandis que des mécanismes
prévoiront la participation rapide d’autres autorités concernées;
|
- behöver bindande företagsregler bara
godkännas av en enda dataskyddsmyndighet, och det kommer att finnas former för
snabb rådfrågning av andra berörda dataskyddsmyndigheter,
|
|
- une fois qu’une REC aura été approuvée par une
autorité, elle sera valable dans toute l’UE sans devoir être, de surcroît,
autorisée au niveau national.
|
- blir en uppsättning bindande företagsregler,
när den väl godkänts av en myndigheter, giltig i hela EU utan att det krävs
fler nationella godkännanden.
|
|
Pour relever les défis de la mondialisation, il est
indispensable, notamment pour les entreprises actives à l’échelle mondiale, de
créer des outils et des mécanismes souples permettant de garantir
concomitamment la protection sans faille des données à caractère personnel. La
Commission propose les mesures suivantes:
|
För att möta globaliseringens utmaningar behövs
flexibla verktyg och mekanismer, särskilt för företag på världsmarknaden,
samtidigt som individernas personuppgifter måste skyddas utan kryphål. Kommissionen
föreslår följande:
|
|
- des règles claires qui définissent les cas
dans lesquels le droit de l’Union est applicable aux responsables du
traitement établis dans des pays tiers, notamment en précisant que, chaque
fois que des produits et des services sont proposés à des personnes physiques
dans l’UE ou que leur comportement est analysé, les règles européennes s’appliquent;
|
- Tydliga regler för när EU-lagstiftningen är tillämplig på registeransvariga
etablerade i länder utanför EU. Bl.a. föreskrivs att när varor och tjänster
bjuds ut till individer i EU eller när dessas beteende övervakas gäller
EU-regler.
|
|
- la Commission européenne adoptera toute décision
relative au caractère adéquat du niveau de protection des données
sur le fondement de critères clairs et explicites, y compris dans le domaine de
la coopération policière et de la justice pénale;
|
- Alla beslut om adekvat skydd kommer
att fattas av kommissionen enligt uttryckliga, tydliga kriterier, även inom
polisiärt och straffrättsligt samarbete.
|
|
- les flux licites de données vers des pays tiers seront
facilités par le renforcement et la simplification des règles relatives aux
transferts internationaux de données vers des pays non couverts par une
décision relative au caractère adéquat du niveau de protection, notamment grâce
à la rationalisation et à l'extension du recours à des outils tels que les règles
d'entreprise contraignantes, de sorte que celles-ci puissent être
appliquées à des responsables du traitement ainsi qu’à l’intérieur de groupes
de sociétés, ce qui reflètera mieux le nombre croissant de sociétés
effectuant des traitements de données, notamment dans le domaine de l’informatique
en nuage;
|
- Legitima överföringar av data till länder
utanför EU underlättas genom stärkta, förenklade regler för internationell
överföring till länder som inte är föremål för något beslut om adekvat
skydd, bl.a. genom förenklingar och ökad användning av bindande
företagsregler och liknande, så att de kan täcka registerförare
och gälla inom koncerner, vilket bättre svarar mot det växande antalet
företag som sysslar med databehandling, särskilt molntjänster.
|
|
- engager un dialogue et, le cas échéant, des négociations
avec des pays tiers, en particulier les partenaires stratégiques de l’Union et
les pays concernés par la politique européenne de voisinage, et les
organisations internationales concernées (comme le Conseil de l’Europe,
l’Organisation de coopération et de développement économiques, les Nations
unies) afin d'œuvrer, à l’échelle mondiale, à l'adoption de normes de haut
niveau et interopérables en matière de protection des données.
|
- Dialog och i förekommande fall förhandlingar
med länder utanför EU, särskilt EU:s strategiska partnerländer och länder inom
den europeiska grannskapspolitiken, och internationella organisationer (t.ex.
Europarådet, OECD och FN) ska föras för att främja ett starkt, kompatibelt
skydd för personuppgifter i hela världen.
|
|
6.
CONCLUSION
|
6.
SLUTSATSER
|
|
La réforme de la protection des données vise à mettre sur pied un
cadre global, cohérent, solide et moderne relatif à la protection des données
pour l’Union européenne. Le droit fondamental des personnes
physiques à la protection des données en sera renforcé. D’autres droits, tels
que la liberté d’expression et d’information, les droits de l’enfant, la
liberté d’entreprise, le droit à un procès équitable et la garantie du secret
professionnel (pour les professions juridiques, notamment) ainsi que le statut
des églises tel qu'il est défini dans les législations nationales, seront
respectés.
|
Reformen av EU:s skydd av personuppgifter går ut
på att bygga ett modernt, starkt, enhetligt och heltäckande skydd för EU.
Individernas grundläggande rätt att få sina personuppgifter skyddade kommer
att stärkas. Andra rättigheter ska respekteras, t.ex. yttrandefriheten och
informationsfriheten, barnets rättigheter, näringsfriheten, rätten till en
rättvis rättegång, tystnadsplikten (bl.a. för jurister) och kyrkornas ställning
enligt medlemsstaternas rättsordningar.
|
|
La réforme profitera en premier lieu aux personnes physiques, en
renforçant leurs droits à la protection des données et leur confiance dans
l’environnement numérique. Elle simplifiera considérablement, en outre,
l’environnement juridique dans lequel évoluent les entreprises et le secteur
public. Le développement de l’économie numérique dans l’ensemble du marché
unique de l’UE et au-delà devrait en être stimulé, conformément aux objectifs
fixés dans la stratégie Europe 2020 et la stratégie numérique pour
l’Europe. Enfin, la réforme accroîtra la confiance entre les autorités
répressives afin de faciliter les échanges d’information entre elles ainsi que
la coopération dans la lutte contre les formes graves de criminalité en Europe,
tout en garantissant aux personnes physiques un niveau élevé de protection.
|
Reformen kommer först och främst att gynna
individerna genom att stärka skyddet av deras personuppgifter och främja deras
förtroende för de digitala tjänsterna. Den kommer också att avsevärt förenkla
de rättsliga förutsättningarna för företagen och den offentliga sektorn, något
som torde stimulera den digitala ekonomisk utveckling på och utanför den inre
marknaden i enlighet med målen i strategin Europa 2020 och den digitala
agendan för Europa. Slutligen kommer reformen att stärka de rättsvårdande
myndigheternas förtroende för varandra, så att det blir enklare för dem att
utbyta uppgifter sinsemellan och samarbeta i kampen mot allvarlig brottslighet,
samtidigt som ett starkt skydd för individen säkerställs.
|
|
La Commission européenne collaborera étroitement avec le
Parlement européen et le Conseil pour assurer la conclusion, d’ici
fin 2012, d’un accord sur le nouveau cadre de l’UE relatif à la protection
des données. Tout au long de ce processus d’adoption et au-delà, notamment dans
le contexte de la transposition et de l'application des nouveaux instruments
juridiques, la Commission poursuivra son dialogue étroit et transparent avec
toutes les parties intéressées, dont des représentants des secteurs privé
et public, parmi lesquels figureront des représentants de la police, de la
justice, des autorités de réglementation des communications électroniques,
d’organisations de la société civile, d’autorités chargées de la protection des
données et du monde universitaire, ainsi que des représentants d’agences
spécialisées de l’Union telles qu’Eurojust, Europol, l’Agence des droits
fondamentaux et l’Agence européenne chargée de la sécurité des réseaux et de
l’information.
|
Kommissionen kommer att samarbeta med
Europaparlamentet och rådet för att få till stånd enighet om EU:s nya
dataskyddsregler före utgången av 2012. Under beredningen och efteråt, bl.a. i
och med att de nya rättsakterna ska genomföras, kommer kommissionen att
föra en lyhörd, öppen dialog med alla berörda parter från privat
och offentlig sektor. Det omfattar bl.a. företrädare för polis och rättsväsende,
det civila samhällets organisationer, dataskyddsmyndigheter, forskare samt
företrädare för specialiserade EU-organ som Eurojust, Europol, Europeiska byrån
för grundläggande rättigheter och Europeiska byrån för nät- och
informationssäkerhet.
|
|
Dans
un contexte d'évolution constante des technologies de l'information et des
comportements sociaux, un tel dialogue est de la plus haute importance pour mettre
à profit les contributions qui sont nécessaires pour garantir un niveau élevé
de protection des données des personnes physiques, la croissance et la
compétitivité des entreprises de l'Union, l'efficacité opérationnelle du
secteur public (dont celle des services de police et de la justice) et un
faible niveau de charges administratives.
|
Eftersom informationstekniken och de sociala
beteendena hela tiden utvecklas har en sådan dialog största betydelse för
inhämtning av det underlag som krävs för att garantera ett starkt skydd för
individers personuppgifter, EU-företagens tillväxt och konkurrenskraft, den
offentliga sektorns (däribland polisens och rättsväsendets) effektivitet och
lindriga administrativa bördor.
|
|
[1] Le
marché de l’analyse de grands ensembles de données enregistre une croissance
mondiale annuelle de 40 %: http://www.mckinsey.com/mgi/publications/big_data/.
|
[1] Världsmarknaden för analys av mycket stora datamängder
växer med 40 % om året: http://www.mckinsey.com/mgi/publications/big_data/.
|
|
[2] Voir
également les conclusions du Conseil européen du 23 octobre 2011 qui
ont souligné le «rôle majeur» du marché unique «dans la croissance et l’emploi»
et insisté sur la nécessité d’achever le marché unique numérique
d’ici 2015.
|
[2] Jfr Europeiska rådets slutsatser av den 23 oktober 2011,
där man framhävde att den inre marknaden ”spelar en viktig roll när det gäller
att skapa tillväxt och sysselsättning” och att den digitala inre marknaden bör
färdigställas senast 2015.
|
|
[3] COM(2010) 171
final.
|
[3] KOM(2010) 171 slutlig.
|
|
[4] COM(2010) 245 final.
|
[4] KOM(2010) 245 slutlig.
|
|
[5] COM(2010) 2020 final.
|
[5] KOM(2010) 2020 slutlig.
|
|
[6] Directive 95/46/CE
relative à la protection des personnes physiques à l'égard du traitement des
données à caractère personnel et à la libre circulation de ces données, JO
L 281 du 23.11.1995, p. 31.
|
[6] Direktiv 95/46/EG om skydd för enskilda personer med
avseende på behandling av personuppgifter och om det fria flödet av sådana
uppgifter, EGT L 281, 23.11.1995, s. 31.
|
|
[7] Des
règles spéciales relatives aux traitements par les États membres dans le
domaine de la politique étrangère et de sécurité commune sont fixées par une
décision du Conseil fondée sur l’article 39 du TUE.
|
[7] Särskilda regler för medlemsstaternas behandling av
uppgifter inom ramen för den gemensamma utrikes- och säkerhetspolitiken ska
fastställas i ett rådsbeslut med stöd av artikel 39 i fördraget om
Europeiska unionen.
|
|
[8] Voir,
respectivement, COM(2009) 262 et COM(2010) 171.
|
[8] KOM(2009) 262 respektive KOM(2010) 171.
|
|
[9] La
réforme de la protection des données a donné lieu à deux consultations
publiques: la première a été organisée de juillet à décembre 2009 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm)
et la seconde, de novembre 2010 à janvier 2011 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm).
|
[9] Två offentliga samråd har hållits om reformerna av
dataskyddet, ett i juli–december 2009 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm)
och ett november 2010–January 2011 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm).
|
|
[10] Des
consultations ciblées ont été organisées en 2010 avec les États membres et des
parties prenantes du secteur privé. Au mois de novembre 2010, la
commissaire européenne chargée de la justice, Mme Viviane Reding, a
organisé une table ronde sur la réforme de la protection des données. Durant
toute l’année 2011 se sont également tenus des ateliers et des séminaires
consacrés à des questions précises (telles que les notifications des violations
de données).
|
[10] Riktade samråd hölls under 2010 med medlemsstaternas
myndigheter och privata intressenter. I november 2010 anordnade ledamoten av
kommissionen med ansvar för rättvisa, Viviane Reding, ett rundabordssamtal i
frågan. Särskilda symposier och seminarier om särskilda frågor (t.ex. varningar om dataintrång) anordnades också
under 2011.
|
|
[11] COM(2010) 609.
|
[11] KOM(2010) 609.
|
|
[12] Voir
la lettre de Mme Viviane Reding, commissaire européenne
chargée de la justice, adressée le 19 septembre 2011 aux membres du
groupe de travail «Article 29», publiée à l’adresse suivante: http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm.
|
[12] Se skrivelse från ledamoten av kommissionen med ansvar för
rättvisa, Viviane Reding, av den 19 september 2011 till ledamöterna i
artikel 29-gruppen: http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm.
|
|
[13] Voir
l'analyse d'impact SEC(2012) 72.
|
[13] Se konsekvensbedömningen SEK(2012)72.
|
|
[14] La
réforme comportera ultérieurement des modifications destinées à harmoniser des
instruments spéciaux et sectoriels tels que le
règlement (CE) n° 45/2001, JO L 8 du 12.1.2011, p. 1.
|
[14] Detta kommer i ett senare skede att medföra ändringar för
anpassning av särskilda eller sektorsspecifika rättsakter, t.ex. förordning
(EG) nr 45/2001, EGT L 8, 12.1.2001, s. 1.
|
|
[15] Le
règlement apporte également un petit nombre d’adaptations techniques à la
directive «vie privée et communications électroniques»
(directive 2002/58/CE, modifiée en dernier lieu par la
directive 2009/136/CE, JO L 337 du 18.12.2009, p. 11) pour
tenir compte de la transformation de la directive 95/46/CE en règlement.
Les conséquences juridiques de fond que le nouveau règlement et la nouvelle
directive entraîneront pour la directive «vie privée et communications
électroniques» feront, le moment venu, l’objet d’un examen par la Commission
qui tiendra compte de l’issue des négociations menées sur les propositions
actuelles avec le Parlement européen et le Conseil.
|
[15] Förordningen omfattar också ett begränsat antal tekniska
anpassningar av e-integritetsdirektivet (direktiv 2002/58/EG, EUT L 337,
18.12.2009, s. 11) eftersom direktiv 95/46/EG ersätts av en förordning. Den nya
förordningens och det nya direktivets materiella rättsliga inverkan på
e-integritetsdirektivet kommer i ett senare skede att ses över av kommissionen,
under hänsynstagande till resultaten av de pågående förhandlingarna om
förslagen med Europaparlamentet och rådet.
|
|
[16] Décision‑cadre 2008/977/JAI
du Conseil du 27 novembre 2008 relative à la protection des données à
caractère personnel traitées dans le cadre de la coopération policière et
judiciaire en matière pénale, JO L 350 du 30.12.2008, p. 60. Un
rapport sur la transposition de la décision-cadre par les États membres
[COM(2012) 12] figure dans le train de mesures réformant la protection des
données.
|
[16] Rambeslut 2008/977/RIF av den 27 november 2008 om skydd av
personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt
samarbete, EUT L 350, 30.12.2008, s. 60. En rapport om medlemsstaternas
tillämpning av rambeslutet, COM(2012) 12, läggs fram som en del av
reformpaketet på detta område.
|
|
[17] Voir
Eurobaromètre spécial 359 - Attitudes on Data Protection and Electronic
Identity in the European Union, juin 2011, p. 23.
|
[17] Se särskild Eurobarometerundersökning 359, Attitudes on
Data Protection and Electronic Identity in the European Union, juni 2011,
s. 23.
|
|
[18] Ibidem, p. 54.
|
[18] A.a, s. 54.
|
|
[19] Voir
Une stratégie numérique pour l’Europe, précitée, p. 4.
|
[19] Se En digital agenda för Europa, s. 4.
|
|
[20] Une
telle obligation n'existe actuellement que dans le secteur des télécommunications
en vertu de la directive «vie privée et communications électroniques».
|
[20] För närvarande är detta bara obligatoriskt inom
telesektorn i enlighet med e-integritetsdirektivet.
|
|
[21] Pour
de plus amples informations à cet égard, voir l'analyse d’impact accompagnant
les propositions législatives, SEC(2012) 72.
|
[21] Mer om detta i konsekvensbedömningen som åtföljer
lagförslagen, SEC(2012) 72.
|
|
[22] Le
groupe de travail «Article 29» a été institué en 1996 (par
l’article 29 de la directive 95/46/CE); il a un caractère consultatif
et se compose de représentants des autorités de contrôle de la protection des
données, du Contrôleur européen de la protection des données (CEPD) et de la
Commission. Pour de plus amples informations sur ses activités, voir http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
|
[22] Artikel 29-gruppen inrättades 1996 med stöd av
artikel 29 i direktiv 95/46/EG som ett rådgivande organ. Den består
av företrädare för de nationella dataskyddsmyndigheterna, Europeiska
datatillsynsmannan och kommissionen. Mer information om gruppens verksamhet: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
|
|
[23] La
Commission présente également une proposition de directive pour définir les
règles applicables au domaine de la coopération policière et de la coopération
judiciaire en matière pénale (voir section 4 ci-après) qui offrira aux
États membres une plus grande souplesse dans ce domaine particulier.
|
[23] Enligt förslaget ska reglerna för polisiärt och
straffrättsligt samarbete fastställas i ett direktiv (se avsnitt 4), så
att medlemsstaterna får mer flexibilitet på detta område.
|
|
[24] Arrêt
de la Cour de justice de l'Union européenne du 9 novembre 2010 dans
les affaires jointes C‑92/09 et C‑93/09,
Volker und Markus Schecke et Eifert, Recueil 2010, non
encore publié au Recueil.
|
[24] Europeiska unionens domstol, dom av den 9 november 2010 i
förenade målen C-92/09 och C-93/09 Volker und Markus Schecke och Eifert [2010],
ännu inte publicerad i REG.
|
|
[25] Conformément
à l'article 52, paragraphe 1, de la charte des droits fondamentaux,
des limitations peuvent être apportées à l'exercice du droit à la protection
des données, à condition que lesdites limitations soient prévues par la loi,
respectent le contenu essentiel du droit et des libertés en cause et, dans le
respect du principe de proportionnalité, soient nécessaires et répondent
effectivement à des objectifs d'intérêt général reconnus par l'Union européenne
ou au besoin de protection des droits et libertés d'autrui.
|
[25] I enlighet med artikel 52.1 i stadgan får
begränsningar av rätten till skydd av personuppgifter göras om begränsningarna
är föreskrivna i lag, förenliga med det väsentliga innehållet i rättigheterna
och friheterna, nödvändiga med beaktande av proportionalitetsprincipen och
faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av EU eller
behovet av skydd för andra människors rättigheter och friheter.
|
|
[26] Arrêts
de la Cour de justice de l'Union européenne du 6 novembre 2003 dans
l'affaire C‑101/01, Lindqvist, Recueil 2003, p. I‑12971,
points 82 à 90, et du 16 décembre 2008 dans l'affaire C‑73/07,
Satamedia, Recueil 2008, p. I‑9831, points 50 à 62.
|
[26] Europeiska unionens domstol, dom av den 6 november 2003 i
mål C-101/01, Lindqvist REG 2003, s. I-12971, punkterna 82–90, dom av den 16 december 2008 i mål C-73/07,
Satamedia, REG 2008, s. I-9831, punkterna 50–62.
|
|
[27] Plus
précisément, la décision-cadre s’applique aux données à caractère personnel qui
sont ou ont été transmises ou mises à disposition entre les États membres ou
échangées entre des États membres et des institutions, organes et organismes de
l’Union (voir article 1er, paragraphe 2).
|
[27] Närmare bestämt gäller rambeslutet personuppgifter som
överförs, har överförts, görs eller har gjorts tillgängliga mellan
medlemsstaterna eller mellan medlemsstaterna och EU:s institutioner och organ
(se artikel 1.2).
|
|
[28] Certains
États membres l'ont confirmé dans leurs réponses au questionnaire de la
Commission relatif au rapport sur la transposition de la décision-cadre
[COM(2012) 12].
|
[28] Några medlemsstater bekräftade detta när de svarade på
kommissionens frågeformulär inför rapporten om tillämpningen av rambeslutet, COM(2012) 12.
|
|
[29] Voir
la Déclaration n° 21 sur la protection des données à caractère personnel
dans le domaine de la coopération judiciaire en matière pénale et de la
coopération policière, annexée à l’acte final de la conférence
intergouvernementale qui a adopté le traité de Lisbonne.
|
[29] Se förklaring nr 21 om skydd av personuppgifter på
området för straffrättsligt samarbete och polissamarbete, som fogats till
slutakten från den regeringskonferens som antagit Lissabonfördraget.
|
|
[30] On
entend par «règles d'entreprise contraignantes» des codes de bonne pratique
fondés sur les normes européennes de protection des données et approuvés par au
moins une autorité chargée de cette protection, que des entités établissent de
leur plein gré et respectent pour garantir un niveau adéquat de protection à
des catégories de transferts de données à caractère personnel entre les
entreprises d’un même groupe liées par ces règles. Ces règles ne sont pas
expressément prévues par la directive 95/46/CE mais se sont créées dans la
pratique entre les autorités chargées de la protection des données, avec le
soutien du groupe de travail «Article 29».
|
[30] Bindande företagsregler är etiska regler som bygger på
europeiska dataskyddskrav och har godkänts av minst en dataskyddsmyndighet.
Företag upprättar dem på frivillig grund och efterlever dem för att ombesörja
ett adekvat skydd vid överföringar av personuppgifter mellan företag i samma
grupp av företag som är bundna av samma regler. De nämns inte uttryckligen i
direktiv 95/46/EG men har vuxit fram i dataskyddsmyndigheternas praxis med stöd
av artikel 29-gruppen.
|