Au fil des décennies, la protection des données personnelles est devenue une priorité pour les instances de l’Union européenne en raison du développement du net et de la transmission d’information qu’il comprend.
Le but de l’UE est que les personnes conservent le contrôle de leurs données personnelles face aux entreprises qui les collectent.
Pour atteindre cet objectif, le Parlement européen a adopté le Règlement général sur la protection des données (RGPD) le 27 avril 2016, entrée en vigueur en mai 2018.
Ainsi, comment le RGPD permet-il une meilleure protection des données personnelles ?
I) Un règlement essentiel à la protection des données personnelles
Face au développement rapide d’internet et des réseaux sociaux, l’UE se trouvait dans le besoin de renforcer sa politique de protection des données personnelles.
Elle s’est alors basée sur les articles 7 et 8 de la Charte des droits fondamentaux protégeant respectivement le droit à la protection de la vie privée et le droit à la protection des données personnelles pour adopter le RGPD le 24 mai 2016.
Ce règlement a permis de préciser les principes sur le traitement des données personnelles et sur le consentement des personnes.
– Ce règlement s’applique seulement aux personnes physiques dont les données personnelles sont traitées au sein d’un État membre (Art.2 RGPD). Ainsi, la personne ne doit pas nécessairement être résidente d’un État appartenant à l’Union européenne.
– L’article 3 précise que le RGPD s’applique aux activités ayant lieu dans l’Union
– Les grands principes du RGPD sont énoncés à l’article 5, la récolte des données doit :
- être licite, loyale et transparente
- respecter des finalités déterminées, explicites et légitimes
- concerner des données exactes
- respecter une durée limite de conservation
- garantir une protection des données collectées (intégrité et confidentialité)
– Protection des données sensibles 👉 données portant sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses […], les données génétiques, les données biométriques, les données de santé, les données concernant la vie sexuelle ou l’orientation sexuelle (Art.9)
– Consentement 👉 le RGPD stipule que si la personne a donné son consentement explicite au traitement de données protégées précitées (origine ethnique, opinion politique, données génétiques,…) alors le traitement sera légal
Ce consentement doit être « libre, spécifique, éclairé et univoque » (Art.4, alinéa 11). Ce consentement suppose donc l’existence d’un acte positif.
❗❗❗ Pour les mineurs → le consentement est donné par le responsable légal. Les Etats membres sont libres de fixer un âge à partir duquel le parent n’a plus à donner son consentement
– Information 👉 les personnes responsables du traitement de données doivent informer la personne sur ses droits, sur la collecte de données en question
– Droit à l’effacement 👉 Droit à l’oubli 👉 destiné à protéger les personnes et leurs données, permet l’arrêt immédiat du traitement des données et le retrait du consentement → les personnes conservent donc la main pour ce qui concerne leurs données personnelles
II) Une protection limitée
Bien qu’il existe une protection européenne des données personnelles, des évolutions restent à apporter.
Ainsi, une protection conférée aux personnes morales est nécessaire afin de couvrir l’intégralité des données susceptibles d’être traitées.
De plus, les domaines protégés par le RGPD comprennent une liste d’exceptions :
- Consentement de la personne
- Exercice du droit à la liberté d’expression
- Respect d’une obligation légale
- Motifs d’intérêt public
- Sauvegarde des intérêts vitaux de la personne
❗❗❗ Les Etats membres sont libres d’ajouter d’autres exceptions → volonté de préserver la souveraineté des Etats membres
Une autre donnée importante à prendre en compte est l’utilisation des réseaux sociaux. Ces derniers sont très utilisés par les internautes afin de diffuser des images ou des informations personnelles. Face à ce traitement massif de données personnelles, des actions à l’échelle de l’Union sont nécessaires.
Ainsi, aucune disposition n’existe sur la durée du consentement bien qu’un droit de retrait du consentement est possible depuis la mise en application du RGPD.
Le RGPD stipule cependant qu’il incombe au responsable du traitement des données personnelles de prouver le consentement de la personne concernée. Le but recherché ici est de protéger le consommateur/la partie faible. Cette volonté de l’Union européenne se retrouve dans les règlements Bruxelles I bis (conflit de juridictions) et Rome I (conflit de lois).
Dans cette optique de protection du consommateur, le consentement tacite est rejeté par l’Union européenne au profit d’un formalisme pour ce qui est de l’affirmation du consentement. Celle-ci doit donc résulter d’un acte positif.