EUROPEENNES RELATIVES A LA PROTECTION

Documents pareils
DEPLOIEMENT DES INFRASTRUCTURES A FIBRES UNE REPONSE DE L INDUSTRIE AUX ENJEUX OPTIQUES ET DES SERVICES TRES HAUT DEBIT

Procédures d exportation de matériel de défense

Guide sur les initiatives RSE sectorielles Fiche n 6 Engagements RSE dans le secteur des industries électriques, électroniques et de communication

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL

Vu la directive 2004/49/CE du Parlement européen et du Conseil du 29 avril 2004 concernant la sécurité des chemins de fer communautaires modifiée ;

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Les Matinales IP&T. Les données personnelles. Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde

PROTÉGER VOS BASES DE DONNÉES

Quelles nouveautés pour les rapports à présenter à l assemblée générale ordinaire annuelle?

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Synthèse. Loyauté et réciprocité des échanges entre l Union Européenne et les pays tiers. Propositions et axes de réflexion des IEEC

Appel à manifestation d intérêt

repères pour agir et mettre en place un projet de consolidation des compétences de Base des Apprentis

Charte d audit du groupe Dexia

Décrets, arrêtés, circulaires

Avis n du 27 novembre 2014 sur le projet de décret relatif aux missions et aux statuts de SNCF Réseau

CONSOMMATION Proposition de directive relative aux droits des consommateurs Position et Amendements de la CGPME

Position de l ADI sur le projet de loi Pinel relatif à l artisanat, au commerce et aux très petites entreprises

Contractualiser la sécurité du cloud computing

ACCORD DU 5 AVRIL 2006

FICHE D IMPACT PROJET DE TEXTE REGLEMENTAIRE

F RSE Plan d action A04 Bruxelles, le MH/JC/LC A V I S. sur

Le régime juridique qui est contractuellement attaché aux

Avenir de la Fonction publique «parcours professionnels, carrières, rémunérations»

Augmenter l impact économique de la recherche :

Développement du numérique LA REMUNERATION POUR COPIE PRIVEE POSITION DE LA FIEEC

Les Règles Contraignantes d Entreprise francophones (RCEF) Foire aux questions (FAQ) Version pour les entreprises décembre 2014

L ANI du 11 janvier 2013 : une petite révolution!

DOCUMENT DE CONSULTATION

Réforme du Code des assurances :

POSITION DE DETIC CONCERNANT LA PROPOSITION DE LA COMMISSION ET LES AMENDEMENTS ADOPTES PAR LE CONSEIL ET LE PARLEMENT EUROPEEN EN PREMIERE LECTURE

Les problématiques des régimes d assurance vieillesse. des professions libérales

Décrets, arrêtés, circulaires

Montée en débit : la mise en œuvre de l accès à la sous-boucle et son articulation avec le développement des réseaux FttH

Réforme du crédit à la consommation Position de la CCIP

Cloud Computing. Une feuille de route pour la France

Appel à projets Incubation et capital-amorçage des entreprises technologiques de mars 1999 L'appel à projets est clos

10 conseils sur la gestion et la mutualisation des agents par les groupements intercommunaux

Accord Cohésion Sociale

Recommandation sur les conventions concernant la distribution des contrats d assurance vie

Investissements d Avenir Premier bilan du FSN PME, le Fonds Ambition Numérique, fonds dédié aux PME innovantes du domaine numérique,

Traitement des Données Personnelles 2012

Réforme de la loi sur les crédits à la consommation. (source : Ministère de l Economie, de l Industrie et de l Emploi, mars 2010)

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

Envoi et réception des documents sociaux par voie électronique

Le contrat Cloud : plus simple et plus dangereux

Santé et sécurité des adjoints techniques territoriaux des établissements d enseignement (ATTEE)

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Assurance et capital-investissement Directive AIFM et utilité de l assurance RC Professionnelle

FEDERATION EUROPEENNE DES FABRICANTS D ALIMENTS COMPOSES EUROPÄISCHER VERBAND DER MISCHFUTTERINDUSTRIE EUROPEAN FEED MANUFACTURERS FEDERATION

Avis n sur la méthodologie relative aux comptes combinés METHODOLOGIE RELATIVE AUX COMPTES COMBINES

TECH COMPRENDRE LA NOTION DE GROUPE PRUDENTIEL INFOTECH # 33 INTRODUCTION RAPPEL : QUEL CONTOUR DU GROUPE D ASSURANCE AUJOURD HUI?

LETTRE CIRCULAIRE N

Les chartes de France Investissement

HAUT COMITE DE GOUVERNEMENT D ENTREPRISE GUIDE D APPLICATION DU CODE AFEP-MEDEF DE GOUVERNEMENT D ENTREPRISE DES SOCIETES COTEES DE JUIN 2013

POLITIQUE 4.4 OPTIONS D ACHAT D ACTIONS INCITATIVES

Violation du «Transitional Rule Book» (Swiss Blue Chip Segment) de SIX Swiss Exchange et de la «Blue Chip Segment Directive 19» de SIX Swiss Exchange

Déclaration des droits sur Internet

I. - LES FAITS NÉCESSITANT LA MISE EN ŒUVRE DE LA PROCÉDURE SPÉCIFIQUE D URGENCE A.

FICHE D IMPACT PROJET DE TEXTE REGLEMENTAIRE

TRAVAIL EMPLOI FORMATION

La participation financière des collectivités territoriales à la protection sociale complémentaire de leurs agents

Agence de la biodiversité et Agence des aires marines protégées : intégration ou association?

Lignes directrices relatives à l instauration de redevances de réutilisation des informations publiques dans des circonstances particulières

ALGERIE Loi de finances complémentaire pour 2009 Mesures fiscales

quelles sont les spécificités du système de gouvernance des PME - PMI?

REGIME D APPUI POUR L INNOVATION DUALE RAPID CAHIER DES CHARGES

Consultation de la CNIL. Relative au droit à l oubli numérique. Contribution du MEDEF

Réforme relative au permis de construire et aux autorisations d urbanisme

Le Protocole de Nagoya sur l accès et le partage des avantages

PRATIQUES ET USAGES DU NUMÉRIQUE DANS LES PME ET TPE

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

Note de mise en œuvre

Conférence EIFR 18 décembre 2014

Réunion Information Investissements d Avenir

Les Groupements de coopération

COMMISSION D ACCÈS À L INFORMATION

Fiche obligation légales. Entreprises de 50 à 299 salariés. Etat du droit après la promulgation de la loi du 4 août 2014

Emmanuel MACRON, ministre de l Economie, de l Industrie et du Numérique

F Planificateur financier A2 Bruxelles, le 27 mars 2014 MH/SL-EDJ/JP AVIS. sur

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

RECOMMANDATIONS COMMISSION

Conditions d achat. 2. Commandes et confirmations de commande. 3. Délais et dates de livraison. Pour l entreprise: Schunk Electrographite S.A.S.

3. Un crédit à la consommation responsable

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Responsabilité Personnelle des Dirigeants Entreprises

Cadre Stratégique Commun

Effectif de la Société à la date de dépôt du dossier complet de demande d aide :

ACCORD ENTRE LE GOUVERNEMENT DE LA PRINCIPAUTE DU LIECHTENSTEIN ET LE MATIERE FISCALE

REGLEMENT DE CONSULTATION

MINISTÈRE DU TRAVAIL, DES RELATIONS SOCIALES, DE LA FAMILLE, DE LA SOLIDARITÉ ET DE LA VILLE CONVENTIONS COLLECTIVES. Convention collective nationale

Position du secteur électrique français

DIVISION DE CAEN Hérouville-Saint-Clair, le 15 octobre 2013

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

16 Mise en place et exploitation de la base de données économiques et sociales

Charte d hébergement de site web

D o s s i e r D e P r e s s e

Impact des règles de protection des données Sur l industrie financière. Dominique Dedieu ddedieu@farthouat.com

Transcription:

Septembre 2012 POSITION FIEEC REVISION DES REGLES EUROPEENNES RELATIVES A LA PROTECTION DES DONNEES PERSONNELLES Contact FIEEC : Sabah DOUDOU sdoudou@fieec.fr 01.45.05.70.52

Synthèse Le 25 janvier 2012, la Commission européenne a proposé une réforme globale des règles adoptées par l Union Européenne en 1995 en matière de protection des données personnelles. La FIEEC (Fédération des Industries Electriques, Electroniques et de Communication) réunit 3000 entreprises, dont 86% de PME, employant près de 420 000 personnes. Les données personnelles sont potentiellement stratégiques pour notre profession, composantes moteur de son innovation et de son développement commercial. Télésanté, identité numérique, sécurité, e-mobilité, smart homes, biens de consommation...de nombreux marchés où la capacité d innovation, les nouvelles technologies seront au cœur des enjeux sociétaux de demain et pour lesquels, l utilisation et l importance des données personnelles constituent un enjeu fondamental, voire la clé du succès au profit de la croissance et de l emploi sur le territoire. D une manière générale, la FIEEC soutient les propositions issues du projet de règlement, qui renforcent la poursuite de l objectif de la Commission européenne de contribuer à une meilleure protection des personnes tout en garantissant la libre circulation des données au sein de l Union européenne et la compétitivité des entreprises dans un contexte de concurrence mondiale forte. Le projet de règlement apporte des avancées substantielles qui étaient attendues et nécessaires. Les droits des citoyens sont ainsi en grande partie renforcés : reconnaissance d un droit à l oubli, d un droit à la portabilité de leurs données et clarification des règles relatives au recueil du consentement et à l exercice de leurs droits. Notre profession considère que ces propositions peuvent conduire à un juste équilibre entre un haut niveau de protection et le bon développement de l économie numérique sur le marché intérieur. Relever le défi de la protection des données est une opportunité pour les entreprises responsables. C est en ce sens, que la FIEEC souhaite faire part de ses observations pour renforcer le projet de Règlement et tient à rappeler les principes qui doivent guider une évolution du cadre règlementaire relatif à la protection des données personnelles : 1. Inscrire la réforme dans la durée, pour répondre aux enjeux de protection face aux évolutions technologiques. 2. Préciser les définitions «clés» pour plus de lisibilité et de sécurité juridique (établissement principal ). La précision de ces définitions est déterminante pour assurer la lisibilité et donc la bonne application du texte. 3. Clarifier les obligations du responsable de traitement et du sous-traitant. A cette fin, il est incontournable d établir précisément la charge respective des diverses obligations pour éviter les risques de confusion, de duplication et de dilution des responsabilités. De même, le régime des «responsables conjoints du traitement» doit être développé pour préciser les conditions d application de ce régime. 4. Prévoir une graduation des notifications des violations de données, en fonction du type de données, de l objet de la violation, et de son niveau de gravité. Cette obligation devrait être respectée dans un délai raisonnable, à compter de la découverte de la violation. 5. Mettre en place un système de contrôle, adapté aux personnes et aux entreprises, capable de garantir une protection effective des données personnelles. La soumission des contrôles à une autorité unique, dont la compétence dépendra du lieu de l établissement principal peut présenter des difficultés liées aux mécanismes de coopération entre les autorités de contrôle qui pourraient augmenter la durée de traitement des réclamations, ou encore liées aux différences entre Etats membres (langue, ). 6. Encadrer le système de sanction. Si le chiffre d affaires constitue la référence pour les sanctions en droit de la concurrence, par exemple, on peut s interroger sur sa pertinence en matière de données personnelles, d autant que les pourcentages prévus apparaissent disproportionnés (de 0,5 à 2% du chiffre d affaires annuel mondial d une entreprise). 2

OBSERVATIONS PRINCIPALES 1. LE PRINCIPE DE NEUTRALITE TECHNOLOGIQUE, CONDITION DE PERENNITE DE LA REFORME PROPOSEE La neutralité technologique, a été l un des principes directeurs suivis par le législateur européen à l occasion de la rédaction de la Directive 95/46/CE que la proposition de Règlement vise à réformer. Si les évolutions technologiques ont pu susciter des questions quant à ses conditions et modalités d application, force est de reconnaître que, dans leur grande majorité, la neutralité technologique qui imprègne les principes de la directive a permis de les appréhender juridiquement. Ce souci s explique par les risques associés au développement de législations spécifiques à certaines technologies ou prescriptrices de certaines technologies : fixer l état du droit à un moment «t» de l évolution des technologies peut freiner l innovation et le déploiement de technologies plus performantes, plus efficaces, plus innovantes ; par nature, une législation qui prescrirait ou encouragerait l adoption d un certain type de technologie plutôt qu un autre ne pourrait prétendre à l exhaustivité ; à défaut de dispositions de principe suffisamment flexibles, des vides juridiques sont susceptibles d apparaître au fur et à mesure de l émergence de nouvelles technologies. La pertinence du principe de neutralité technologique en matière de régulation relative à la protection de la vie privée et la nécessité de le préserver dans le cadre de la réforme doivent être soutenues. En l état, certaines dispositions de la Proposition de Règlement pourraient remettre en cause ce principe. En effet, plusieurs dispositions de la Proposition de Règlement prévoient la possibilité pour la Commission d adopter des actes délégués aux fins de préciser et/ou de définir des «formats électroniques», des «normes techniques», ou encore des modalités ou procédures de transmission de données. Il ne s agit pas de remettre en cause dans leur principe ni dans leur finalité les dispositions concernées, qui touchent notamment à la «portabilité» des données, la «protection des données dès la conception», la protection des données par défaut, la sécurité des traitements et aux procédures de notification des «violations de données à caractère personnel». Cependant, la dimension particulièrement technique de ces dispositions commande une certaine vigilance afin d éviter certains travers rappelés et conduit à proposer certaines garanties quant au respect du principe de neutralité technologique non seulement par le Règlement à venir mais aussi, par les actes délégués pour lesquels la Commission est habilitée (article 86 «Exercice de la délégation» de la Proposition de Règlement). La FIEEC propose de préciser de manière explicite au sein du Règlement la nécessité et la finalité du principe de neutralité technologique en tant que ligne directrice du législateur européen. Par ailleurs, il conviendra d associer le plus en amont possible les parties prenantes pour la prise d actes délégués par la Commission. 3

2. UNE NECESSAIRE PRECISION DES DEFINITIONS «CLES» POUR PLUS DE LISIBILITE ET DE SECURITE JURIDIQUE La proposition de règlement définit un certain nombre de notions 1. La précision de ces définitions est déterminante pour assurer la lisibilité et donc la bonne application du texte. C est un élément essentiel pour assurer la sécurité juridique des acteurs. Ainsi, la notion d «l établissement principal», qui permet de déterminer l autorité compétente, introduit plusieurs critères tels que le lieu «des principales décisions, des principales activités, de l administration centrale». Toute ambigüité pourrait aboutir à ce que plusieurs autorités revendiquent leur compétence, sur des sociétés présentes dans plusieurs Etats membres. La FIEEC appelle à une clarification de cette définition pour éviter tout risque de confusion, notamment pour les entreprises agissant à la fois comme sous-traitants et comme responsables de traitement dans plusieurs Etats membres. 3. LA CLARIFICATION DES OBLIGATIONS DU RESPONSABLE DE TRAITEMENT ET DU SOUS- TRAITANT 3.1 Des obligations cumulatives et alternatives à la charge du responsable de traitement et du sous-traitant à clarifier : Avec l évolution des technologies comme le cloud computing, la distinction entre les sous-traitants et les responsables de traitement peut parfois être floue. Alors que le Règlement s efforce de clarifier leurs rôles respectifs, il serait nécessaire d obtenir d avantage d indications et de précisions à cet égard. En l état, de nombreuses obligations incombent alternativement ou cumulativement au responsable de traitement et au sous-traitant, sans permettre de délimiter clairement les responsabilités respectives de chacun. Cette assimilation des deux régimes pose problème à plusieurs titres et génère une insécurité juridique considérable : (i) en entretenant le flou sur les rôles et obligations respectifs, elle participe de la dilution, et non du renforcement de la responsabilité respective du responsable d une part et du soustraitant d autre part ; (ii) en créant des obligations cumulatives et autonomes à l égard d un même traitement, telles que par exemple la désignation d un délégué à la protection des données par le responsable et le sous-traitant, (article 35), ou le maintien d une documentation complète à la fois par le responsable du traitement et le sous-traitant (article 28). 1 Les notions définies à l article 2 de la Directive sont : «données à caractère personnel», «traitement de données à caractère personnel», «fichier de données à caractère personnel, «responsable de traitement», «sous-traitant», «tiers», «destinataire» et «consentement de la personne concernée». 4

Dans la mesure où par ailleurs le Règlement applique des méthodes et des obligations différentes aux responsables de traitement et aux sous-traitants, il sera essentiel pour les entreprises et plus particulièrement pour les PME/ETI, de comprendre parfaitement les cas où elles sont responsables de traitement et ceux où elles seront considérées comme sous-traitants. Par exemple, le Règlement propose différentes méthodes aux responsables de traitement et aux sous-traitants pour définir leur «établissement principal» ; si une entreprise ne sait pas clairement quel rôle elle joue, elle ne sera pas en mesure de déterminer quelle méthode appliquer ni d identifier l autorité de contrôle de la protection des données dont elle dépend. 3.2 Une «responsabilité spéciale» du sous-traitant en cas de manquement aux instructions fournies Aux termes de l articles 26-4 du projet de la proposition de règlement, le sous-traitant, «s il traite des données à caractère personnel d une manière autre que celle définie dans les instructions du responsable de traitement [.] est considéré comme responsable de traitement à l égard de ce traitement et il est soumis aux dispositions applicables aux responsables conjoints». Cette disposition prévoit donc un nouveau régime de «co-responsabilité», en cas de non-respect d une obligation contractuelle. Il convient de rappeler qu en pratique, si un sous-traitant en venait à déterminer les moyens d un traitement de données dans le cadre d une activité spécifique ou en raison de la nature même d un secteur d activité, deux scénarios seraient envisageables : (i) dès lors que la situation résulte des conditions contractuelles librement choisies et acceptées par le responsable de traitement en application de l article 26 («Sous-traitant»), alors l expression de la volonté des parties doit permettre d organiser clairement les conditions de responsabilité respectives ; (ii) lorsque le sous-traitant traite des données à caractère personnel d'une manière autre que celle définie contractuellement, alors le sous-traitant est requalifié en responsable de traitement et se trouve soumis aux dispositions applicables aux responsables conjoints du traitement prévues à l'article 24 2 de la proposition de Règlement (article 26 4 de la Proposition de Règlement). La multiplication des obligations mise à la charge du sous-traitant qui s en tient à son rôle et n agit que dans le cadre des instructions du responsable de traitement apparaît à tout le moins inutile et dans une certaine mesure préjudiciable. Le champ des obligations incombant au sous-traitant doit être revu afin de ne concerner que des obligations très précises et limitées, tenant compte du rôle effectif des sous-traitants. Il semblerait 2 L article 24 de la proposition de Règlement dispose que «Lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités, conditions et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d'accord, leurs obligations respectives afin de se conformer aux exigences du présent Règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée». 5

plus opportun de conserver un système proche du système actuel, dans lequel le responsable de traitement peut sous-traiter ses obligations à un sous-traitant, en définissant le champ de ces obligations de manière contractuelle. Dès lors, le sous-traitant resterait tenu à l égard du responsable de traitement tant qu il respecte les instructions qui lui sont données par celui-ci, et ne serait tenu d une responsabilité autonome que dans le cas où il outrepasserait ces instructions. Cela n empêche pas, bien entendu, que le sous-traitant conserve directement certaines obligations clairement identifiées telle que l obligation d assurer la sécurité des données. En conséquence, la FIEEC propose que : le régime de responsabilité du responsable de traitement et du sous-traitant soit clarifié. A cette fin, il est incontournable d établir précisément la charge respective des diverses obligations prévues par la proposition de Règlement pour éviter les risques de confusion, de duplication et de dilution des responsabilités. le régime des «responsables conjoints du traitement» soit développé au sein de la proposition de Règlement pour préciser les conditions d application de ce régime dès lors qu un sous-traitant dépasserait le périmètre de ses attributions. 4. INSTAURER UNE PRIORITE DES NOTIFICATIONS DE VIOLATIONS DE DONNEES (ARTICLES 31 ET 32) La proposition de règlement prévoit un délai de 24 heures pour notifier à l autorité de contrôle toutes les violations de données par le responsable de traitement. L obligation d informer la personne concernée des violations susceptibles de porter atteinte à la protection de ses données ou à sa vie privée, sauf si des mesures de protection appropriées sont mises en œuvre, est étendue à tous les responsables de traitements. La FIEEC souhaite appeler l attention de la Commission sur le délai dans le quel doivent intervenir les notifications et la nécessité de les prioriser. En effet, si toutes les failles étaient notifiées, les autorités pourraient être submergées d informations sans différenciation du niveau de gravité. De plus, un excès de notification pourrait développer un sentiment anxiogène de la part des utilisateurs, ce qui est contraire aux objectifs poursuivis par le règlement. Par conséquent, la FIEEC propose que l obligation de notification soit graduée en fonction du type de données, de l objet de la violation, et de son niveau de gravité et que cette obligation soit respectée dans un délai raisonnable, à compter de la découverte de la violation. 5. METTRE EN PLACE UN SYSTEME DE CONTROLE EFFICACE ET OPERATIONNEL (ARTICLE 51) La proposition de règlement prévoit que lorsque le responsable du traitement ou le sous-traitant sont établis dans plusieurs Etats membres, l autorité de contrôle du lieu de l établissement principal du responsable de traitement ou du sous-traitant est compétente pour contrôler les activités de traitement du responsable du traitement ou du sous-traitant dans tous les Etats membres. Le système de «guichet unique» a pour objectif de permettre aux entreprises présentes 6

dans plusieurs Etats membres de l Union européenne de ne pas être confrontées à une pluralité d autorités de contrôle appliquant des règles différentes d un pays à l autre. Toutefois, le rattachement de l autorité à «l établissement principal» soulève des interrogations pour les entreprises organisées de manière déconcentrées. En effet, le règlement ne précise pas les responsabilités respectives de «l établissement principale» et des autres entités, telles que la maison mères ou les filiales. La FIEEC souligne les difficultés d une telle disposition liées aux mécanismes de coopération entre les autorités de contrôle qui pourraient augmenter la durée de traitement des réclamations devant les autorités de contrôle étrangères, ou encore liées aux différences entre Etas membres (langue, ). 6. POUR UN ENCADREMENT DU SYSTEME DE SANCTION (ARTICLE 79) Un système de réponse graduée est instauré. La sanction de la violation des règles du règlement peut aller jusqu à 2% du chiffre d affaires annuel mondial d une entreprise. Si le chiffre d affaires constitue la référence pour les sanctions en matière de droit de la concurrence, par exemple, on peut s interroger sur sa pertinence en matière de données personnelles, d autant que les pourcentages prévus apparaissent disproportionnés (de 0,5 à 2% du chiffre d affaires annuel mondial d une entreprise). A minima, la FIEEC propose d appliquer un plafond maximal aux sanctions qui pourraient être prononcées par les autorités nationales de contrôle. La FIEEC souhaite par ailleurs que la possibilité d un simple avertissement, pour l instant limitée aux scénarios restreints de l article 79.3, soit explicitement prévue dans l article 79.2 pour tous les responsables de traitement dans le cadre de l appréciation souveraine au cas par cas de l autorité de contrôle. Il conviendra dès lors de supprimer intégralement l article 79.3. 7

OBSERVATIONS SPECIFIQUES Sur l applicabilité territoriale du règlement (article 3) La proposition de règlement envisage une harmonisation totale des règles sur les données personnelles, que le lieu d établissement de l entreprise soit dans l Union européenne ou dans un pays tiers. La FIEEC soutient cette nouvelle définition du champ d application territorial qui permettra d éviter les distorsions de concurrence entre les acteurs sur le marché et préserver la compétitivité des entreprises européennes par rapport aux entreprises établies hors UE. Toutefois, même si les sociétés établies hors de l UE seront soumises à la réglementation européenne en matière de protection des données, nous appelons l attention de la Commission sur l effectivité des contrôles relatifs au respect de ces règles par ces entreprises. Il est impératif que tous les acteurs soient soumis aux mêmes règles. Sur les conditions du consentement (article 4, 7, 8) Le règlement autorise les responsables de traitement à traiter les données à caractère personnel de personnes ayant consenti au traitement. Afin de s assurer de ce consentement, le règlement prévoit un nombre important de garde-fous. Lorsque le consentement est requis, il doit être «explicite» et donné «par une déclaration ou par un acte positif univoque» [art. 4-(8)]. L exigence d un consentement «univoque» semble exclure la possibilité de recueillir le consentement par un système d opt-out et que l accord doit être obtenu par voie d opt-in. Or, il existe un large éventail de mécanismes permettant aux utilisateurs, selon les données visées et l objectif de leur utilisation, de donner cet accord. Un système général trop exigeant peut être contraire aux objectifs poursuivis. C est la raison pour laquelle la FIEEC demande que le règlement poursuive l objectif du recueillement d un consentement sans imposer de mécanisme précis, afin de soutenir les innovations des entreprises, pour offrir de nouvelles solutions technologiques, capables de répondre à cette exigence de protection. Sur la transparence et les modalités (articles 11 à 13) L entreprise informe la personne concernée par le traitement de données sous une forme intelligible et en des termes clairs et simples. Elle doit fournir des informations transparentes, facilement accessibles et intelligibles, et adaptée à la personne concernée (art. 11-2). La FIEEC s interroge sur la faisabilité d assurer une information «adaptée à la personne concernée», avec les risques de subjectivité que cela comporte. A ce titre, la profession demande de supprimer la notion «à la personne concernée». 8

Sur l information préalable (articles 14) Le responsable du traitement doit informer préalablement la personne concernée sur la durée de conservation pendant laquelle les données personnelles seront conservées, le droit d introduire une réclamation, les transferts internationaux et les destinataires des données. La FIEEC souligne que ces données personnelles sont parfois détenues par une entreprise pour plusieurs finalités, ce qui implique des durées de conservation différentes. Il est alors difficile pour une entreprise d indiquer à l avance une durée de conservation des données. De plus, l information donnée sera complexe et risque de ne pas être intelligible. Sur l encadrement et la simplification des transferts internationaux des données Le projet prévoit les conditions dans lesquelles des données personnelles peuvent être transférées à l étranger dans des conditions assurant un niveau élevé de protection. La FIEEC se félicite des avancées qui ont été faites en ce qui concerne l encadrement des transferts internationaux des données personnelles, qui permettront de faciliter les échanges tout en assurant un niveau élevé de protection. Pour compléter cette réflexion, nous souhaitons préciser plusieurs éléments : Régime d approbation des BCR La proposition de règlement prévoit que les transferts seront encadrés par des règles d entreprise contraignantes» qui doivent être approuvées par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l article 58. Cet article prévoit que l autorité de contrôle saisie doit communiquer le projet de mesure d approbation des BCR qu elle envisage de prendre au comité européen de la protection des données et à la Commission. La FIEEC souhaite rappeler la nécessaire vigilance dans la mise en œuvre du régime applicable à l approbation préalable des BCR par l autorité de contrôle, pour permettre aux BCR de véritablement devenir un outil d encadrement efficace des transferts internationaux de données personnelles. A ce titre : il convient de s assurer que les procédures et surtout les délais de vérification, de validation voire de suspension des projets de mesures adoptés par les autorités de contrôle n auront pas pour effet de fortement limiter le recours aux BCR, la mise en place d un «guichet unique» est un élément indispensable, la reconnaissance des règles d entreprises contraignantes applicables aux sous-traitants contribuera également à faciliter l encadrement des transferts de données. L importance des clauses contractuelles L article 42 relatif aux «transferts moyennant des garanties appropriées» relève que les clauses contractuelles liant le responsable du traitement ou le sous-traitant et les destinataires des données constituent une garantie appropriée pour la protection des données. Parmi les différents mécanismes proposés, la FIEEC tient à souligner l importance des ces clauses contractuelles qui aujourd hui constituent un mécanisme important en faveur du transfert de données hors de l UE. 9

Les chiffres clés de la profession 3000 entreprises 98 MILLIARDS de CA dont 40 % à l export 87% de PME et d ETI 420 000 emplois 8% du CA du secteur affecté à la R&D (contre 2% en moyenne dans toute l industrie) La FIEEC est une Fédération de l industrie qui rassemble 29 syndicats professionnels dans les secteurs de l électricité, de l électronique et du numérique (biens d équipement, biens intermédiaires et biens de consommation). Les secteurs qu elle représente regroupent près de 3 000 entreprises (dont 87% de PME et d ETI), emploient 420 000 salariés et réalisent plus de 98 milliards d euros de chiffre d affaires dont 40% à l export. La FIEEC est membre du GFI, du MEDEF, de l UIMM, de la CGPME et de l ORGALIME. Nos marchés Agir efficacement pour le Développement Durable Relever les défis du vieillissement de la population Protéger nos concitoyens et renforcer la confiance Bâtir les infrastructures et les réseaux de demain Capitaliser sur les technologies de transformation et de compétitivité Les entreprises du secteur des technologies de l énergie et du numérique apportent de nombreuses solutions pour répondre aux grands enjeux sociétaux qui sont autant de marchés du futur : développement durable, santé, sécurité/confiance Villes intelligentes, véhicules électriques, fibre optique, dépendance/télésanté ou encore réseaux électriques intelligents sont autant de vecteurs de croissance pour lesquels la France dispose de nombreux atouts et d un réel savoir-faire.

Nos documents de référence à télécharger sur www.fieec.fr 2012-2017 : Le temps de l action Juillet 2012 The SMART W RLD ELECTRA II - The smart world Avril 2012 2012-2017 : Le temps de l ambition Décembre 2011 for growth and investment to 2020 and beyond ELECTRA I - Twenty solutions Juin 2008 Making Europe smarter and more competitive Solutions proposed by Europe s electrical engineering & electronics industries we can do it Etat Généraux de I Industrie Paroles de dirigeants d entreprises Février 2010 Contribution des filières stratégiques pour la croissance et l'emploi Octobre 2009 Plan de conquête pour les industries à valeur ajoutée technologique Mars 2009 Stratégie industrielle pour les marchés du futur Juin 2008 (Tome 1 et 2) Fédération des Industries Electriques, Electroniques et de Communication 11,17 rue de l Amiral Hamelin - 75783 Paris Cedex 16 www.fieec.fr

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back