Dzintars Rasnačs, ministre letton de la justice, a déclaré: "Ce jour, nous avons fait un grand pas en avant pour nous rapprocher de l'objectif consistant à doter l'Union européenne d'un cadre modernisé et harmonisé de protection des données. Je suis particulièrement satisfait de constater que, après trois années de négociations, nous sommes finalement parvenus à un compromis sur le texte. Le nouveau règlement sur la protection des données, qui est adapté aux besoins de l'ère numérique, renforcera les droits de nos citoyens et assurera un niveau élevé de protection."
Fort de cette orientation générale, le Conseil dispose d'un accord politique sur la base duquel il peut maintenant entamer des négociations avec le Parlement européen en vue de parvenir à un accord global sur de nouvelles règles de l'UE en matière de protection des données. Un premier trilogue avec le Parlement devrait avoir lieu le 24 juin 2015.
"Je me réjouis que le Parlement européen soit disposé à entamer les négociations en trilogue dès la semaine prochaine. J'espère que nous parviendrons rapidement à l'accord final, de manière à ce que nos citoyens puissent bénéficier le plus tôt possible des avantages de la réforme", a ajouté le ministre letton de la justice Dzintars Rasnačs.
La future présidence luxembourgeoise a indiqué que, parallèlement aux négociations sur le règlement, les travaux relatifs à la directive en matière de protection des données dans le domaine répressif seraient accélérés, l'objectif étant de parvenir à une orientation générale en octobre.
Le ministre luxembourgeois de la justice Felix Braz a déclaré: "Cette réforme constitue un paquet et nous avons la ferme intention de boucler le dossier avant la fin de l'année".
Principaux éléments de l'accord
Un niveau renforcé de protection des données
Les données à caractère personnel doivent être recueillies et traitées de manière licite, dans des conditions strictes et à des fins légitimes. Les responsables du traitement (ceux qui sont chargés de traiter les données) doivent respecter des règles bien précises, comme l'obligation de recueillir le consentement sans ambiguïté de la personne concernée (la personne dont les données à caractère personnel font l'objet d'un traitement) pour pouvoir traiter ces données.
Grâce au renforcement des droits en matière de protection des données, les personnes concernées peuvent mieux maîtriser leurs données à caractère personnel:
- un accès plus facile à leurs données;
- des informations plus détaillées sur ce qui arrive à leurs données à caractère personnel une fois qu'elles décident de les partager: les responsables du traitement doivent offrir davantage de transparence sur la manière dont ces données sont traitées, par exemple en informant en termes simples et clairs les personnes de la politique applicable en matière de respect de la vie privée;
- un droit à l'effacement et à l'oubli numérique, qui permet à tout un chacun de demander, par exemple, qu'un fournisseur de services supprime sans délai des données à caractère personnel recueillies lorsque l'intéressé était enfant;
- un droit à la portabilité, qui permet de transmettre plus facilement des données à caractère personnel d'un fournisseur de services, par un exemple un réseau social, à un autre, ce qui permettra en outre d'accroître la concurrence entre ces fournisseurs;
- des limites à l'utilisation du "profilage", à savoir le traitement automatisé de données à caractère personnel visant à évaluer certains aspects personnels tels que le rendement au travail, la situation économique, la santé, les préférences personnelles, etc.
Afin d'améliorer les possibilités de recours, les personnes concernées pourront soumettre toute décision de leur autorité chargée de la protection des données au contrôle de leur juridiction nationale, quel que soit l'État membre dans lequel le responsable du traitement est établi.
Des débouchés commerciaux accrus dans le marché unique numérique
Un ensemble unique de règles valables dans toute l'Union et applicable aux entreprises européennes et non européennes offrant leurs services en ligne dans l'UE permettra d'éviter que des règles nationales divergentes en matière de protection de données n'entravent les échanges transfrontières de données. En outre, une coopération accrue entre les autorités de contrôle des États membres assurera une application cohérente de ces règles dans toute l'UE, ce qui créera une concurrence loyale et encouragera les entreprises, notamment les petites et moyennes, à tirer le meilleur parti du marché unique numérique.
Afin de réduire les coûts et d'offrir une sécurité juridique, dans des affaires transnationales importantes faisant intervenir plusieurs autorités de contrôle nationales, une décision de contrôle unique sera prise. Ce mécanisme de guichet unique permettra à une entreprise ayant des filiales dans plusieurs États membres de limiter ses contacts à l'autorité chargée de la protection des données de l'État membre dans lequel elle est établie.
Pour réduire les coûts de mise en conformité, les responsables du traitement peuvent, sur la base d'une évaluation du risque que comporte leur traitement de données à caractère personnel, définir des niveaux de risque et mettre en place des mesures qui tiennent compte de ces niveaux.
Des outils plus nombreux et de meilleure qualité pour faire appliquer les règles en matière de protection des données
Le renforcement de la responsabilité et de l'obligation de rendre des comptes incombant aux responsables du traitement améliorera le respect des nouvelles règles en matière de protection des données. Les responsables du traitement doivent mettre en œuvre des mesures de sécurité appropriées et veiller, sans retard injustifié, à adresser notification des violations de données à caractère personnel à l'autorité de contrôle ainsi qu'à ceux qui sont affectés de manière sensible par ces violations. Les responsables du traitement et les sous-traitants peuvent désigner dans leur organisation des délégués à la protection des données. En outre, ils peuvent être tenus de le faire, en vertu du droit de l'Union ou de la législation nationale.
Les personnes concernées ainsi que, dans certaines conditions, les organisations de protection des données peuvent introduire une réclamation ou former un recours juridictionnel dans les cas où les règles en matière de protection des données ne sont pas respectées. En outre, lorsque de tels cas sont confirmés, les responsables du traitement s'exposent à des amendes pouvant s'élever à un million d'euros ou à 2 % du chiffre d'affaires annuel mondial.
Garanties concernant les transferts de données à caractère personnel en dehors de l'UE
La protection des transferts de données à caractère personnel vers des pays tiers et à des organisations internationales est assurée grâce à des décisions constatant le caractère adéquat du niveau de protection. La Commission, avec la participation des États membres et du Parlement européen, est compétente pour décider si le niveau de protection des données offert par un pays tiers ou une organisation internationale est suffisant. Dans les cas où aucune décision de ce type n'a été prise, le transfert des données à caractère personnel ne peut intervenir que si des garanties appropriées (clauses types de protection des données, règles d'entreprise contraignantes, clauses contractuelles) ont été mises en place.