COMMISSION EUROPÉENNE
Bruxelles, le 11.4.2016
COM(2016) 214 final
2012/0011(COD)
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN
conformément à l’article 294, paragraphe 6, du traité sur le fonctionnement de l’Union européenne
concernant la
position du Conseil sur l'adoption d'un règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel
et à la libre circulation de ces données (règlement général sur la protection des données)
et abrogeant la directive 95/46/CE
2012/0011 (COD)
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN
conformément à l’article 294, paragraphe 6, du traité sur le fonctionnement de l’Union européenne
concernant la
position du Conseil sur l'adoption d'un règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel
et à la libre circulation de ces données (règlement général sur la protection des données)
et abrogeant la directive 95/46/CE
1.Contexte
|
Date de transmission de la proposition au Parlement européen et au Conseil
(document COM(2012) 11 final – 2012/11 COD):
|
25 janvier 2012
|
|
Date de l'avis du Comité économique et social européen:
(SOC/455 EESC-2012-1303)
|
23 mai 2012
|
|
Date de la position du Parlement européen en première lecture:
|
12 mars 2014
|
|
Date de transmission de la proposition modifiée:
|
Non disponible
|
|
Date d'adoption de la position du Conseil:
|
8 avril 2016
|
2.Objet de la proposition de la Commission
La directive 95/46/CE, qui constitue l'instrument législatif central de la protection des données à caractère personnel en Europe, a posé un jalon dans l’histoire de la protection des données. Ses objectifs, qui consistent à assurer le fonctionnement du marché unique et la protection effective des libertés et des droits fondamentaux des personnes physiques, demeurent d’actualité. Mais elle a été adoptée il y a 21 ans, à une époque où internet n’en était qu’à ses premiers balbutiements. L'environnement numérique actuel et ses exigences font que les règles en vigueur ne présentent ni le degré d’harmonisation requis ni l’efficacité nécessaire pour garantir le droit à la protection des données à caractère personnel.
Dans ce contexte, la Commission a proposé, le 25 janvier 2012, un règlement destiné à remplacer la directive 95/46/CE et qui instaure un cadre général de l’UE pour la protection des données. La proposition de règlement modernise les principes de la directive de 1995 en les adaptant à l’ère numérique et en harmonisant la législation sur la protection des données en Europe. La protection des données doit faire l'objet de règles strictes pour rétablir la confiance des personnes dans la manière dont leurs données à caractère personnel sont utilisées.
La proposition de règlement vise à renforcer les droits des personnes et le marché intérieur de l’UE, garantir un contrôle accru de l’application de la réglementation, simplifier les transferts internationaux de données à caractère personnel et instaurer des normes mondiales en matière de protection des données.
Les personnes pourront ainsi exercer un meilleur contrôle sur leurs données à caractère personnel et y accéder plus facilement. En outre, la protection des données à caractère personnel, où qu'elles se trouvent, sera garantie. Les nouvelles règles prévoient à cette fin les mesures suivantes:
faciliter l'accès à ses propres données: les personnes recevront des informations plus nombreuses, plus claires et plus compréhensibles sur la façon dont leurs données sont traitées;
bénéficier d'un «droit à l'oubli»: lorsqu'une personne ne souhaite plus que ses données soient traitées, et pour autant qu'aucun motif légitime ne justifie de les conserver, ces données seront supprimées;
permettre à une personne de savoir que ses données ont été piratées: les entreprises devront signaler à l’autorité de contrôle les violations de données qui font courir un risque aux personnes concernées et communiquer dès que possible à ces dernières toutes les violations présentant des risques élevés, afin que les utilisateurs puissent prendre les mesures appropriées;
garantir la portabilité des données: les personnes pourront plus facilement transférer des données à caractère personnel d’un prestataire de services à un autre.
Le règlement proposé contribue également à réaliser le potentiel du marché unique, grâce aux mesures suivantes:
application du principe «un continent, une législation»: une législation paneuropéenne unique pour la protection des données remplacera les législations nationales disparates des 28 États membres;
mise en place d'un «guichet unique» pour les entreprises: les entreprises n’auront affaire qu’à une seule autorité de contrôle, et non plus à 28, ce qui simplifiera et diminuera le coût de leur activité dans l’Union;
des conditions de concurrence équitables: aujourd’hui, les entreprises européennes doivent se conformer à des normes plus strictes que les entreprises établies en dehors de l’UE et qui exercent des activités au sein du marché unique. Grâce à la réforme, les entreprises ayant leur siège en dehors de l’Europe devront appliquer les mêmes règles lorsqu’elles proposeront des biens ou des services sur le marché de l’UE;
neutralité technologique: le règlement permet à l’innovation de continuer à se développer au sein du nouveau cadre réglementaire.
Enfin, le règlement proposé dispose que les autorités de contrôle pourront infliger des amendes aux entreprises qui ne respectent pas les règles de l’UE, à concurrence de 2 % de leur chiffre d’affaires annuel mondial.
3.Observations sur la position du Conseil
La position du Conseil reflète l’accord politique conclu le 15 décembre 2015 entre le Parlement européen et le Conseil lors de trilogues informels, puis approuvé par le Conseil le 8 avril 2016.
La Commission souscrit à cet accord, étant donné qu'il est conforme aux objectifs de sa proposition.
L’accord respecte la nature de l’instrument juridique proposé par la Commission, à savoir un règlement plutôt qu’une directive, qui nécessiterait une transposition dans les 28 systèmes juridiques nationaux. Il garantit également un niveau d’harmonisation suffisant, tout en laissant aux États membres une marge de manœuvre en ce qui concerne les spécifications des règles de protection des données dans le secteur public.
La position du Conseil confirme l’approche de la Commission concernant le champ d’application territorial du règlement, qui s’appliquera également aux responsables du traitement ou aux sous-traitants établis dans un pays tiers, lorsque les activités de traitement sont liées à l'offre de biens ou de services à des personnes résidant dans l'Union ou à l'observation de ces personnes.
L’accord, qui maintient l’approche de la Commission, renforce les principes relatifs au traitement des données (minimisation des données, p. ex.) et aux droits des personnes concernées, en consacrant le droit à l’oubli et le droit à la portabilité, et en continuant à développer les droits existants, tels que le droit à l’information ou le droit d’accès.
Il préserve et développe l’approche fondée sur le risque, déjà présente dans la proposition de la Commission, qui exige que les responsables du traitement et, dans certains cas, les sous-traitants, tiennent compte de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du degré de probabilité et de gravité des risques pour les droits et libertés des personnes concernées. Par ailleurs, l’accord obtenu sur le mécanisme de «guichet unique» est solide sur le plan juridique et institutionnel, et il apporte une réelle valeur ajoutée pour les entreprises et les personnes concernées. Ce mécanisme reposera sur le principe de «l’autorité la mieux placée» pour prendre la décision et il sera uniquement appliqué aux cas ayant une dimension transfrontière importante. La position du Conseil conserve les principaux éléments de simplification, qui consistent à instaurer le principe d'une décision unique au niveau de l’UE et d'un seul interlocuteur pour les entreprises et les personnes.
L’accord clarifie et précise les règles relatives aux transferts internationaux en ce qui concerne, par exemple, les critères à prendre en compte pour évaluer le niveau de protection dans un pays tiers ou les instruments permettant de fournir des garanties appropriées pour les transferts internationaux.
La position du Conseil autorise les autorités de contrôle à infliger des sanctions financières en cas d'infraction au règlement, à concurrence de 2 à 4 % du chiffre d’affaires annuel mondial de l’entreprise.
Enfin, la position du Conseil, contrairement à la proposition de la Commission, ne considère pas le règlement comme un développement de l’acquis de Schengen. La Commission estime par conséquent qu’une déclaration à cet égard est nécessaire.
4.Conclusion
La Commission approuve l'issue des négociations interinstitutionnelles et peut donc accepter la position adoptée par le Conseil en première lecture.
5.DÉCLARATION DE LA COMMISSION — PERTINENCE DU RÈGLEMENT VIS-À-VIS DE L'ACQUIS DE SCHENGEN
«La Commission déplore les changements apportés à sa proposition initiale par la suppression des considérants 136, 137 et 138 liés à l’acquis de Schengen. La Commission estime en particulier qu'en ce qui concerne les visas, les contrôles aux frontières et le retour, le règlement général sur la protection des données constitue un développement de l’acquis de Schengen pour les quatre pays associés à la mise en œuvre, à l’application et au développement de cet acquis.»
