La Commission européenne veut harmoniser la protection des données personnelles

Les entreprises pourront économiser jusqu'à 2 millions d'euros en procédures de déclaration. Elles seront également tenues de notifier toute fuite de données sous 24 heures.

Dans sa proposition de réforme adoptée le 25 janvier, la Commission européenne cherche à harmoniser la réglementation sur la protection des données personnelles aux 27 pays de l’union et se veut fédératrice. Toutes les entreprises sont concernées, puisque des données personnelles peuvent être contenues dans les fichier de clients, de salariés, etc.
Un premier objectif est d’alléger les procédures de déclaration : les entreprises ne devront désormais plus se référer qu'à l’autorité nationale du pays où elles ont leur établissement principal, et non plus dans chaque pays où elles sont implantées. Pour elles, cela représenterait une économie d’environ 2 millions d'euros par an. Le responsable du département sécurité d’Interoute, Jeff Fionch, reconnaît que « se conformer aux différentes législations sur la protection des données privées représentait un casse-tête terrible pour les organisations ». Un point positif, donc, à ceci près qu’ « il faudra connaître les 27 nuances locales imposées par les différentes transpositions qui seront faites du règlement européen », contrebalance Paul-Oliver Gibert, président de l’AFCDP (Association française des correspondants aux données personnelles).
Deux ans avant l'application
Il est également question que tout traitement de données réalisé en dehors de l’Union européenne fasse désormais l’objet d’une demande d’autorisation. Ce qui risque de soulever le débat. Cela signifie que les entreprises qui ont recours aux services en ligne devront déclarer non seulement l'utilisation de leurs données, mais aussi leur géolocalisation. Comment une entreprise française, dont le fichier client est hébergé sur Google Apps, peut-il exiger de son fournisseur l’emplacement desdites données ? Surtout quand on connaît l’opacité de Google sur cette question.
Autre point non négligeable, en cas de piratage ou de fuite des données, les entreprises seront contraintes « à notifier sans retard indû les violations de données tant à l’autorité nationale chargée de la protection des données – si possible, dans les 24 heures suivant la découverte de la violation – qu’aux personnes physiques concernées ». Sur cette question, l'Europe rattraperait un retard de dix ans sur les Etats-Unis.
Enfin, la commission s'est également penchée sur la question cruciale du droit à l'oubli avec, dans la ligne de mire, les Facebook, Skyblog et autres.
Transmises au parlement européen, ces règles devront attendre au moins 2014 après négociations et adoption pour être appliqués. D’ici là, les choses peuvent encore évoluer.
Quelques liens :
Liste (en français) des grands points de la réforme
Le mini-site (en anglais) de l'union européenne sur la protection des données
Une foire aux questions (en anglais) sur la proposition
Une campagne vidéo pour sensibiliser à la question :
Votre opinion