Présentation

La mission d'information revient tout d'abord sur la directive du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données. Si elle a constitué une première étape dans l'élaboration à l'échelon européen d'un cadre juridique d'ensemble relatif à la protection des données personnelles, cette directive, élaborée dans le contexte des débuts d'internet, n'a donc pas pris en compte les évolutions technologiques intervenues du fait de son développement. De plus, les marges de manoeuvre laissées par le texte ont entraîné, en pratique, des différences substantielles dans les législations nationales à l'intérieur de l'Union européenne, ce qui n'est pas sans importance dans le contexte de compétition économique mondiale, observe la mission. Ces constats expliquent pourquoi la Commission européenne a souhaité, dès 2012, rénover le cadre existant afin de l'adapter aux nouvelles réalités du numérique, aboutissant à l'adoption du règlement général sur la protection des données, le 27 avril 2016, complété par une directive sur les données policières et judiciaires, ces deux textes constituant le « paquet données personnelles ». Le règlement du 27 avril 2016 sera applicable à partir du 25 mai 2018, ainsi que le prévoit l'article 99. La mission juge donc nécessaire d'adapter préalablement le cadre législatif de la protection des données à caractère personnel, principalement défini par la loi du 6 janvier 1978. La loi pour une République numérique du 7 octobre 2016 a déjà modifié certaines de ses dispositions mais un travail plus vaste devra être mené lors de la prochaine législature, estime la mission. Parallèlement, la coopération entre les Etats membres et les travaux du G29 jouent, selon la mission, un rôle essentiel pour préparer l'application du règlement.

Revenir à la navigation

Sommaire

SYNTHÈSE DU RAPPORT

INTRODUCTION

I. LE RÉGIME EN VIGUEUR DE LA PROTECTION DES DONNÉES PERSONNELLES DANS L’UNION EUROPÉENNE : UN CADRE ANCIEN LAISSANT D’IMPORTANTES MARGES D’INTERPRÉTATION AUX ÉTATS MEMBRES

A. LE CADRE DE RÉFÉRENCE DÉFINI PAR LA DIRECTIVE DE 1995, COMPLÉTÉ PAR LA DIRECTIVE DE 2002 « VIE PRIVÉE ET COMMUNICATIONS ÉLECTRONIQUES »
1. La directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
a. L’affirmation des grands principes de la protection des données personnelles
b. Des limites liées à l’évolution de l’environnement numérique et aux divergences d’application dans les États membres

2. La directive 2002/58/CE du 12 juillet 2002 « vie privée et communications électroniques »

B. L’APPORT DE LA COUR DE JUSTICE DE L’UNION EUROPÉENNE AU RÉGIME EUROPÉEN DE PROTECTION DES DONNÉES PERSONNELLES

C. LES MESURES NATIONALES DE PROTECTION DES DONNÉES PERSONNELLES DES PERSONNES PHYSIQUES

II. LE RÈGLEMENT DU 27 AVRIL 2016 : DES ÉVOLUTIONS SIGNIFICATIVES ET UN RENFORCEMENT VOLONTARISTE DE L’HARMONISATION DE LA PROTECTION DES DONNÉES PERSONNELLES DANS L’UNION EUROPÉENNE

A. LE RÉSULTAT D’UNE LONGUE NÉGOCIATION
1. Le paquet « données personnelles »
2. La position de la France
3. Un règlement sui generis, laissant d’importantes marges de manœuvre aux États membres

B. LE RENFORCEMENT DES DROITS DES PERSONNES PHYSIQUES
1. L’évolution de la définition des données protégées
2. Le renforcement du consentement
3. L’extension du droit à l’information
4. L’affirmation de nouveaux droits
a. Le droit à l’effacement (« droit à l’oubli »)
b. Le droit à la portabilité des données
c. Le recours aux actions collectives

5. La question du profilage

C. LES PRINCIPES S’IMPOSANT AUX OPÉRATEURS TRAITANT DES DONNÉES PERSONNELLES
1. Un périmètre étendu d’application
a. Responsable de traitements et sous-traitant : une responsabilité conjointe
b. Une application extra-territoriale du règlement

2. D’une logique de contrôle préalable à une logique de responsabilité
a. Une logique de conformité et de responsabilité
b. Les nouvelles obligations pesant sur les entreprises

3. La sanction du non-respect des obligations
4. Une attention particulière doit être accordée aux TPE et aux PME

D. L’ENCADREMENT DES TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS
1. L’encadrement par le règlement des transferts de données à caractère personnel vers des pays tiers ou des organisations internationales
2. L’impact du règlement sur le « bouclier vie privée Union européenne-États-Unis »

E. LE RENFORCEMENT DES AUTORITÉS DE RÉGULATION ET LA MISE EN PLACE D’UN GUICHET UNIQUE
1. L’évolution des missions des autorités de contrôle
2. La mise en place de décisions conjointes des autorités de contrôle des États membres
a. Un interlocuteur unique pour les responsables de traitement
b. Un mécanisme de décision conjointe des autorités de contrôle des États membres

III. L’APPLICATION DU RÈGLEMENT À PARTIR DE MAI 2018 REND NÉCESSAIRE UNE ADAPTATION DU CADRE NATIONAL DE LA PROTECTION DES DONNÉES PERSONNELLES

A. DE NÉCESSAIRES ADAPTATIONS
1. Modifier le montant des amendes que peut prononcer la CNIL
2. Mettre en place une procédure de coopération en matière de sanction avec les autorités de contrôle des États membres

B. DES QUESTIONS RESTENT EN SUSPENS
1. Une nécessaire clarification de certaines notions
2. Les règles spécifiques à certains types de traitements
a. Les traitements des données de santé
b. Les traitements des données biométriques et génétiques
c. Les traitements aux fins d’expression journalistique, artistique, universitaire et littéraire
d. Les traitements de données relatives aux infractions, aux condamnations et aux mesures de sûreté
e. Les traitements portant sur le numéro d’identification national
f. Les traitements des données personnelles à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques

3. Les actions de groupe
4. Le droit à la portabilité
5. Les dispositions spécifiques concernant les enfants

EXAMEN EN COMMISSION

PERSONNES ENTENDUES

DÉPLACEMENT À BRUXELLES

ANNEXE N° 1 : LISTE DES RENVOIS AU DROIT NATIONAL PRÉVUS PAR LE RÈGLEMENT 2016/679

ANNEXE N° 2 : RÉSOLUTION EUROPÉENNE ADOPTÉE PAR L’ASSEMBLÉE NATIONALE LE 23 MARS 2012 SUR LA PROPOSITION DE RÈGLEMENT RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES

Revenir à la navigation

Fiche technique

Type de document : Rapport parlementaire

Pagination : 111 pages

Édité par : Assemblée Nationale

Collection :

Revenir à la navigation