Bruxelles, 17/12/2015 (Agence Europe) - La commission des libertés civiles du PE (LIBE) a validé, jeudi 17 décembre dans la matinée, l'accord informel trouvé entre le PE et le Conseil mardi 15 décembre sur le paquet « protection des données personnelles » (EUROPE 11455).
Les députés ont adopté le règlement général sur la protection des données par 48 voix pour, 4 contre et 4 abstentions ainsi que la directive sur le traitement des données personnelles par les autorités judiciaires et policières par 53 voix pour, 2 contre et 0 abstention.
Pour rappel, le règlement général sur la protection des données s'applique aux entreprises privées et publiques, et même aux entreprises étrangères offrant des services dans l'UE, et contient plusieurs innovations, comme le consentement « non ambigu » du consommateur à l'utilisation de ses données, un droit à l'oubli et un droit à l'effacement de ses données ; les entreprises pourront être sanctionnées jusqu'à 4% de leur chiffre d'affaires global annuel si elles ne respectent pas les règles. Les entreprises devront nommer un contrôleur de la protection des données si elles traitent un grand nombre de données personnelles, les PME en étant exemptées (sauf si les données sont au coeur de leur métier). Le règlement fixe aussi la limite d'âge pour les autorisations parentales données par les consommateurs à leurs enfants pour qu'ils aillent sur les réseaux sociaux, cette limite étant flexible et fixée de 13 à 16 ans (le PE voulait une limite d'âge de 13 ans).
En ce qui concerne la directive touchant au cadre policier et pénal, elle harmonise « complètement 28 systèmes répressifs différents en ce qui concerne le traitement des données à des fins d'application de la loi » et fixe « des normes minimales sur le traitement des données à des fins policières dans tous les États membres ». Cette directive adoptée à des fins de « prévention et de détection des infractions pénales, d'enquêtes et poursuites en la matière, d'exécution de sanctions pénales ou de protection contre les menaces pour la sécurité publique et de prévention » fixe des principes généraux sur la finalité du traitement, la durée de conservation des données, les droits à l'information des personnes concernées.
Elle prévoit ainsi que les données personnelles doivent être « traitées licitement et loyalement ; collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées de manière incompatible avec ces finalités ». Les données doivent « être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées; exactes et, si nécessaire, tenues à jour et conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ». Des exceptions sont toutefois prévues aussi pour permettre aux agents de traitement des données d'utiliser ces données pour d'autres finalités.
La directive comporte aussi des dispositions sur les transferts internationaux vers les autorités répressives des pays tiers ou des organisations internationales. Ainsi ces transferts peuvent-ils notamment être rendus possibles si la Commission européenne a rendu au préalable une décision d'adéquation garantissant aux États membres qu'un pays tiers offre un niveau de protection des données personnelles adéquat et similaire au régime européen.
Le paquet doit être approuvé en plénière en mars ou avril, explique le PE, et doit être approuvé formellement par le Conseil des ministres de l'UE. Les États membres auront ensuite deux ans pour transposer les règles de la directive. (Solenn Paulic)