Dans un peu plus de 100 jours, entrera en vigueur le nouveau règlement général sur la protection des données personnelles (GDPR). Lors de la présentation de nouveaux outils pratiques en ligne visant à faciliter l’application du GDPR, mercredi 24 janvier, la commissaire européenne à la Justice, Vĕra Jourová, a indiqué qu’à ce stade, seules l’Allemagne et l’Autriche avaient pris les mesures nécessaires pour se conformer aux nouvelles règles.
« Les préparatifs avancent à différentes vitesses dans les États membres », a-t-elle expliqué, tout en appelant les autres États membres à accélérer l'adoption de la législation nationale et veiller à ce que ces mesures soient conformes au règlement.
Si le nouveau règlement prévoit un ensemble unique de règles directement applicables dans tous les États membres, il nécessite néanmoins, sur certains aspects, que les gouvernements européens modifient leurs lois existantes. En Espagne, par exemple, un projet de loi a été soumis au Parlement en novembre dernier et, en France, en janvier. Au Danemark, le processus législatif devrait se terminer en mars 2018 au plus tard. Des retards seraient par ailleurs à noter en Italie.
Pour rappel, la réforme, présentée en 2012 et adoptée en 2016 (EUROPE 11732), modernise des règles vieilles de 23 ans. À compter du 25 mai 2018, date de son entrée en vigueur, les citoyens pourront bénéficier de nouveaux droits tels que le droit à l'effacement de leurs données ou leur consentement explicite pour l'utilisation de leurs données importantes. Les autorités de protection des données auront par ailleurs le pouvoir d’infliger des amendes allant jusqu'à 20 millions d'euros.
De nouveaux outils pratiques en ligne
Afin d'aider les entreprises, en particulier les PME, les pouvoirs publics et les citoyens à se conformer aux nouvelles règles et à en bénéficier, la Commission européenne a lancé un site Internet qui met à disposition plusieurs documents pratiques disponibles dans toutes les langues de l’UE et qui sera régulièrement mis à jour. Les documents reviennent sur les principaux bénéfices et opportunités du règlement, l’état des lieux des travaux préparatoires réalisés jusqu’à présent et les prochaines étapes.
La Commission a annoncé, par ailleurs, qu'elle consacrera 1,7 million d'euros au financement des autorités de protection des données ainsi qu'à la formation de professionnels de la protection des données. Elle met également une enveloppe supplémentaire de 2 millions d'euros à la disposition des autorités nationales pour les aider à sensibiliser les entreprises.
Et la protection des données personnelles au sein des institutions européennes ?
Passée relativement inaperçue, une autre proposition relative à la protection des données personnelles fait actuellement l'objet de négociations en trilogue (EUROPE 11941) : le projet de règlement relatif au traitement des données à caractère personnel par les institutions et organes de l’UE. Le texte a été proposé il y a un an afin d'adapter les règles existantes à celles, plus strictes, établies par le GDPR et est censé entrer, lui aussi, en vigueur le 25 mai prochain.
Mettant en garde contre tout retard dû aux négociations, le Contrôleur européen de la protection des données personnelles, Giovanni Buttarelli, a rappelé, dans un billet daté du 22 janvier, que « [cette législation] est une déclaration de l'engagement de l'UE à se soumettre aux mêmes règles qui s'appliqueront aux autres dans le cadre du GDPR ».
« Il ne peut y avoir de traitement spécial pour la 'bulle européenne' », a-t-il ajouté, exhortant le PE, le Conseil et la Commission à trouver rapidement un compromis. (Marion Fontana)