POLITIQUE & INSTITUTIONS — Europe

Nouveau règlement européen

«Le respect des données nous concerne tous»



conference-cnpd-3.jpg

Devant une salle comble, Xavier Bettel donnait le coup d’envoi d’une journée de rencontre autour du nouveau règlement européen. L’objectif: aider les entreprises à s’y préparer à temps. (Photo: CNPD)

Soumis à un lobbying énorme, le projet de règlement européen sur la protection des données a trouvé une issue lors de la présidence luxembourgeoise du Conseil de l’Union européenne. Pleinement applicable le 25 mai 2018, il régule la manière dont nos informations sensibles sont utilisées et conservées.

Ce 11 octobre à la Maison du savoir, la Commission nationale pour la protection des données consacrait une journée d’étude entière au nouveau règlement général sur la protection des données. À la fois vivement débattu et très attendu, le texte fixe de nouveaux droits et obligations pour les citoyens et organisations du continent.

La conférence de la CNPD

Organisée avec le concours de Digital Lëtzebuerg, la rencontre a fait salle comble devant une audience de juristes, responsables de données, entrepreneurs du web ou encore experts publics, illustrant l’étendue de l’intérêt pour la Place. Le moteur des différentes sessions a été de préparer une transition qui devrait durer une vingtaine de mois, puisque le règlement sera pleinement en vigueur le 25 mai 2018.

C’est une adaptation à un monde nouveau où l’innovation technologique occupe une large place.

Xavier Bettel, Premier ministre

«Il ne s’agit pas d’une énième loi, c’est une adaptation à un monde nouveau où l’innovation technologique occupe une large place», a introduit lors de l’ouverture Xavier Bettel, invité d’honneur en sa qualité de ministre des Médias. «Le respect des données nous concerne tous, en tant que citoyen, institut de recherche, entreprise ou institution publique.»

Le Premier en a profité pour annoncer une vaste campagne d’information sur le sujet, en français et en anglais. Plusieurs modules sectoriels seront notamment organisés les 14 et 18 novembre pour répondre aux questions des entreprises et les guider dans les inévitables changements à effectuer. La sensibilisation se poursuivra ensuite au printemps 2017.  

Harmoniser la protection

Fixant un nouveau cadre pour l’utilisation des données des Européens, le règlement européen, né d’une directive datant de 1995, apporte une nouvelle gouvernance dans son sillage. Il donnera aussi naissance à l’European Data Protection Board (EDPB), un nouveau corps institutionnel commun dont fera partie la CNPD. «D’application directe, comme tous les règlements, le texte laisse cette fois-ci une flexibilité considérable. Différentes interprétations doivent être faites, même si son but directeur est que les données circulent librement à travers l’UE», cadre Tine A. Larsen, présidente de l’autorité de surveillance luxembourgeoise et hôte du jour.  

Bouclé sous la présidence européenne du Conseil de l’UE, le texte renverse le paradigme sécuritaire en place. Les responsables de traitement devront adopter une approche «by design» et intégrer la sécurité dès la conception d’un produit ou service.

Nous devrons tous trouver un équilibre entre innovation et protection de la vie privée.

Tine A. Larsen, Présidente de la CNPD

Tine Larsen

«Plusieurs changements sont de taille, y compris pour les autorités de surveillance de l’UE. D’un cadre purement national, nous allons devoir intégrer une dimension européenne dans l’ensemble de notre travail. Nous devrons tous trouver un équilibre entre innovation et protection de la vie privée», a poursuivi Tine A. Larsen, qui devrait voir ses effectifs, aujourd’hui d’une vingtaine de personnes, renforcés dans les mois à venir. Amenée à être moins administrative, la tâche de son équipe sera davantage proactive et en contact avec le terrain.

Sécurité et confiance

Dans une optique d’harmonisation européenne, le règlement donne aussi de nouveaux pouvoirs aux 28 organes nationaux de contrôle des données, dont celui de fixer des amendes pouvant aller jusqu’à 4% du chiffre d’affaires d’une entreprise. Réunis au sein du groupe de travail dit de «l’article 29», l’ancêtre de l’EDPB, ils collaborent de longue date.

C’est une législation crédible et cohérente.

Irina Vasiliu, Data Protection Unit

Irina Vasiliu a contribué à l’écriture du texte.

Pour Irina Vasiliu, de la Data Protection Unit attachée à la DG Justice de la Commission, avoir un document de référence unique et une politique commune était un premier pas important. «C’est un texte qui m’a hanté pendant quatre ans! Il a connu 4.500 amendements déposés. Il n’y a que la politique d’agriculture commune qui a été autant discutée. Ce règlement offre enfin aujourd’hui un cadre commun aux 28. Ce n’était pas le cas avant. Ensuite, il renforce le modèle de gouvernance en place et codifie des droits comme celui à l’oubli. C’est une législation crédible et cohérente.»

L’ensemble des intervenants s’accorde sur l’importance des notions de confiance, de clarté et de transparence dans cette nouvelle donne, le Premier ministre en tête. «Notre monde est de plus en plus numérique. Nous devons faire en sorte qu’il ne nous dépasse pas. Nous avons besoin d’une société dans laquelle nous voulons continuer d’avoir confiance et dans laquelle chacun peut évoluer sereinement. Nous laissons tous des traces digitales plus ou moins sensibles. Leur intégrité passe par la responsabilisation des citoyens et des entreprises.»

Et Tine A. Larsen de le rejoindre: «La pierre angulaire du nouveau règlement est la notion de confiance: l’assurance que le responsable des données traite les informations personnelles de façon responsable, et la confiance dans l’application efficace et uniforme des règles.»