Législation de la biométrie en Europe

Europe - Article 29

Inconnu du public, le groupe de travail de l'Article 29, est chargé, au sein de la Commission européenne, de coordonner la protection des données privées en Europe. Cette structure tire ses fondements (et son appellation) de l'article 29 d'une directive de 1995 consacrée à « la protection des données et leur libre circulation ».

La mission de ce groupe est d'améliorer d'une manière générale le niveau de la protection des données personnelles à travers l'Europe et, ainsi, d'assurer que le droit fondamental à la vie privée n'est pas bafoué. Pour cela, nous il coordonne les actions des autorités locales afin d'harmoniser les règles européennes sur la protection des données personnelles.

Au niveau de Bruxelles, il adopte des recommandations et publie des avis sur les technologies ou projets qui peuvent avoir un impact sur les libertés individuelles.

Il n'a aucun pouvoir de sanction. Mais dans chaque pays les autorités locales de protection des données peuvent disposer de pouvoirs suffisants pour faire respecter les mesures élaborées.

Une directive européenne de 1995 proposait d'uniformiser le traitement de la protection des données et des libertés individuelles. La France a été le dernier État à la transposer dans son droit national. La loi « informatique et libertés » de 1978 a symboliquement été maintenue mais profondément remaniée.

En premier lieu, les formalités déclaratives ont été largement simplifiées, le contrôle préalable de la CNIL étant désormais limité aux seuls traitements présentant des menaces particulières d'atteinte aux droits et libertés. En contrepartie, la CNIL dispose de pouvoirs de contrôle et de sanctions étendus.

En mai 2018, la nouvelle réforme européenne sur la protection des données entrera en vigueur. Elle vise à augmenter et faciliter le contrôle des données personnelles des citoyens européens.

2018 la nouvelle réforme européenne - RGPD

La réforme répond à un objectif clair : « avoir un niveau élevé et uniforme de protection des données à travers l’UE ». Elle touche ainsi toutes les facettes de la protection des données :

• Droit à l’oubli.
• Consentement de la personne concernée quant à l’utilisation de ses données personnelles.
• Droit d’être informé en cas de piratage des données.
• Protection des données dès la conception - « privacy by design ».
• Toutes les organisations doivent disposer d’un système d’information sécurisé.
• Les sanctions en cas de non-respect du règlement, peuvent aller jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu.
• Le règlement s’applique aux organisations de l’UE ainsi qu’aux entreprises non établies dans l’Union Européenne mais traitant des données à caractère personnel relatives à des personnes sur le territoire de l’UE.

Cadre juridique – Europe - RGPD

RGPD - Traçabilité et cartographie de la donnée

• Règlement général sur la protection des données (RGPD ou GDPR en anglais) est entré en vigueur le 25 mai 2016. Mais les Etats membres disposent d’un délai de deux ans pour l’adopter aux législations nationales. Son échéance d’application dans l’UE est donc fixée au 25 mai 2018.
• Les entreprises, qui exercent une activité en Europe devront être en mesure de protéger les données personnelles des utilisateurs selon des normes imposées.
• Conformité avec le Règlement général sur la protection des données (RGPD en français ou GDPR en anglais).
• Justifier l’ensemble des traitements des données qu’elles effectuent sur les informations laissées par les utilisateurs, de la création d’un compte à sa suppression.
• Le RGPD article 9 : « les données biométriques aux fins d’identifier une personne physique de manière unique » sont des données « sensibles » dont le traitement est par principe interdit sauf exceptions énumérées à l’alinéa 2 du même article.