Un aperçu des événements réglementaires importants menant au GDPR.

Directives de l’OCDE

Bien qu’il ne fasse aucun doute que les règles et réglementations relatives à la confidentialité des données doivent être mises à jour, le GDPR et la Directive 95/46 / CE reposent sur un ensemble de principes encore plus anciens qui sont toujours valables aujourd’hui. L’Organisation de coopération et de développement économiques (OCDE) a publié ses Lignes directrices sur la protection de la vie privée et les flux transfrontières de données personnelles, un ensemble de recommandations approuvées à la fois par l’UE et les États-Unis visant à protéger les droit humain fondamental de la vie privée. Le document a été adopté à l’origine le 23 septembre 1980 et proposait les huit principes suivants pour le traitement des données à caractère personnel:

Principe de limitation de la collecte
Il devrait y avoir des limites à la collecte de données à caractère personnel, les données devraient être obtenues par des moyens légaux et équitables et, le cas échéant, avec la connaissance ou le consentement de la personne concernée.

Principe de qualité des données
Les données personnelles doivent être pertinentes aux fins pour lesquelles elles doivent être utilisées et, dans la mesure nécessaire à ces fins, doivent être exactes, complètes et tenues à jour.

Principe de spécification de l’objet
Le but de la collecte de données doit être spécifié au moment de la collecte et les données ne doivent pas être utilisées à d’autres fins que celles initialement prévues sans que la personne concernée soit à nouveau informée.

Principe de limitation d’utilisation
Les données personnelles ne doivent pas être utilisées à des fins autres que celles prévues initialement, sauf avec le consentement de la personne concernée ou l’autorité de la loi.

Principe des garanties de sécurité
Les données personnelles doivent être protégées par des mesures de sécurité raisonnables contre des risques tels que la perte ou l’accès non autorisé, la destruction, l’utilisation, la modification ou la divulgation de données.

Principe d’ouverture
Il devrait y avoir une politique générale d’ouverture sur les développements, les pratiques et les politiques en matière de données personnelles. Les individus devraient avoir un accès facile à l’information sur leurs données personnelles, qui les détient et à quoi ils les utilisent.

Principe de la participation individuelle
Une personne devrait avoir le droit de savoir si un contrôleur a des données à son sujet et d’avoir accès à ces données sous une forme intelligible moyennant une redevance, le cas échéant, qui n’est pas excessive. Une personne devrait également avoir le droit de contester un contrôleur pour avoir refusé d’accorder l’accès à ses données, ainsi que pour contester l’exactitude des données. Si ces données s’avéraient inexactes, les données devraient être effacées ou rectifiées.

Principe de responsabilité
Les responsables du traitement des données devraient être responsables du respect des mesures détaillées ci-dessus.

Ces directives constituaient la base de nombreuses lois nationales concernant la confidentialité des données, mais elles n’étaient pas contraignantes et les niveaux de protection des données variaient considérablement, même entre les différents États membres de l’UE.

Directive 95/46 / CE

La directive sur la protection des données 95/46 / CE du 24 octobre 1995 était la réponse de l’Union européenne à la division des réglementations relatives à la protection de la vie privée dans l’UE. Ses principaux objectifs comprennent l’harmonisation des lois sur la protection des données et le transfert de données à caractère personnel vers des «pays tiers» en dehors de l’Union. Il a mis en place des autorités publiques indépendantes, appelées autorités de protection des données (DPA) dans chaque État membre, afin de superviser l’application de cette directive et de servir d’organisme de réglementation pour les interactions avec les entreprises et les citoyens. Il prévoyait également la possibilité de transférer des données à caractère personnel à des pays tiers, à condition que ces pays soient autorisés à disposer de niveaux de protection adéquats pour les données dont la garantie serait comparable à celle des protections au sein de l’UE. Dans l’ensemble, la directive reste fidèle à la recommandation initiale de l’OCDE et aux concepts fondamentaux de la vie privée en tant que droit de l’homme fondamental.

Proposition GDPR

Bien que la directive 95/46 / CE ait été conçue pour rassembler les législations des différents États membres, elle restait une directive, ce qui laissait une certaine marge d’interprétation lors de la transposition en droit national individuel. Ce fait, ajouté au paysage de données en évolution rapide d’aujourd’hui, a conduit à la nécessité d’une autre mise à jour de l’environnement réglementaire de l’UE. Le GDPR entrant est une législation beaucoup plus vaste et les changements qu’il apporte, ainsi que les impacts qu’il aura parmi les entreprises, peuvent être trouvés dans notre résumé des points clés ici. Plus important encore, en tant que règlement et non directive, il deviendra une loi immédiatement applicable dans tous les États membres.

Les principaux principes en matière de vie privée sont toujours conformes à la directive précédente et aux lignes directrices de l’OCDE, mais les médias sociaux et le stockage en nuage n’étaient pas une réalité en 1995, puisque seulement 1% de la population européenne utilisait Internet. Avec la technologie moderne, nous créons des données plus personnelles que jamais auparavant, et le traitement de ces données est devenu omniprésent. Le GDPR est destiné à mettre à jour les normes pour s’adapter à la technologie d’aujourd’hui tout en restant général pour simplement protéger les droits fondamentaux des individus tout au long des futures vagues d’innovation.

Cas de la CJUE

Deux affaires récentes ont été portées devant la Cour de justice de l’Union européenne (CJUE) au sujet de la confidentialité des données dans la perspective du GDPR. Le cas de Weltimmo affecte le domaine de la réglementation du guichet unique au sein de l’UE, et l’arrêt Safe Harbor invalide affecte le domaine des transferts de données entre l’UE et les États-Unis.

Weltimmo Case
Un sujet déjà controversé, l’idée d’un guichet unique pour la réglementation de la confidentialité des données est née de la directive précédente, dans le but de réduire les formalités administratives pour les entreprises. Cependant, l’affaire Weltimmo, le 1er octobre 2015, a conduit les entreprises à se conformer aux lois locales sur la confidentialité des données si elles avaient des «établissements» dans les États membres situés en dehors de leur siège européen. Bien que le GDPR essayait déjà de réparer ce système imparfait avant la décision de la CJUE, il reste encore beaucoup de questions à résoudre. Le principal parmi ceux-ci est la division entre les DPA des entreprises et des particuliers. Les régulateurs souhaitent faciliter la vie des entreprises en leur permettant de s’enregistrer et de traiter avec un seul DPA national, mais ils veulent également que les individus puissent se rendre à leur propre DPA, qui peut très bien être différent de celui des entreprises. Pour plus d’analyses sur le débat entourant le guichet unique dans le GDPR, cliquez ici.

Effondrement de ‘Safe-Harbour Agreement’
Cinq jours seulement après l’arrêt Weltimmo, la CJUE a rendu une autre décision concernant la confidentialité des données, déclarant cette fois-ci que le système Safe Harbor pour les transferts de données entre l’UE et les États-Unis était invalide. Bien que ce ne soit pas la seule manière de transférer des données de l’UE vers les États-Unis, environ 4500 entreprises ont utilisé ce cadre comme principale base juridique pour les transferts. L’affaire a été initiée par l’étudiant autrichien Max Schrems, suite aux révélations de la NSA par Edward Snowden. Il a été décidé que les autorités publiques américaines n’étaient pas seulement en dehors du champ d’application de Safe Harbor, mais avaient également des lois contradictoires qui prévalent sur le régime dans certaines circonstances. Il reste à voir si la portée étendue du GDPR (affectant toutes les entreprises traitant des données personnelles de l’UE) remplacera entièrement le système de Safe Harbor. Il y a aussi de l’espoir pour un soi-disant Safe Harbor 2.0 pour soulager la pression sur les entreprises pour trouver d’autres formes légales de transfert de données, qui seraient probablement en vigueur bien avant le GDPR.

LIENS

Les clés

Le Process

Pourquoi le GDPR ?