Le 23 mai 2018, des représentants du Conseil de l’UE et du Parlement européen se sont mis d’accord sur un nouveau Règlement relatif à la manipulation des données à caractère personnel au niveau des institutions européennes et d’autres autorités de l’UE. Les nouvelles règles sont conformes au Règlement général sur la protection des données (RGPD), applicable à partir du 25 mai 2018.
Les nouvelles dispositions seront applicables au traitement de données par les institutions, les autorités ou les services de l’UE. Les dispositions élèveront le niveau de protection des données personnelles et garantiront la libre circulation de celles-ci entre les institutions et les autres autorités dans la mesure du nécessaire.
« Les nouvelles règles de protection des données pour les institutions européennes renouvellent encore plus le régime de protection des données au sein de l’Union. C’est un signal important pour les citoyens : les règles plus strictes de protection des données sont valables pour tous, y compris pour les institutions européennes elles-mêmes. Je suis heureuse que nous avons réussi à nous mettre d’accord sur ces règles quelques jours à peine avant l’entrée en vigueur du Règlement général sur la protection des données le 25 mai 2018 ».
Tsetska Tsatcheva, ministre de la Justice de la République de Bulgarie
A l’instar du RGPD, le nouveau Règlement offre un ensemble de principes à appliquer lors du traitement des données et plusieurs droits garantis aux individus dont les données sont recueillies. Ceux derniers incluent, entre autres, le droit d’accès aux données à caractère personnel, le droit à leur rectification, le droit à l’oubli. Comme dans le cas du RGPD, les institutions et les autres autorités sont censées garantir la mise à disposition d’une information transparente et facilement accessible sur la manière dont sont utilisées les données et prévoir des mécanismes clairs pour les citoyens d’exercer leurs droits.
Ce nouvel instrument juridique a également pour vocation de confirmer, expliquer et mettre en valeur le rôle du délégué à la protection des données au sein de chaque institution européenne ou au sein du Contrôleur européen de la protection des données. Le but est de simplifier les procédures en la matière.
Conformément à l’accord atteint aujourd’hui avec les colégislateurs, le traitement de données à caractère personnel par les agences de l’Union dans le domaine de la justice et de la coopération judiciaire (par exemple Eurojust) est régi par un chapitre distinct du Règlement. Les dispositions de ce chapitre sont conformes à la Directive (UE) 2016/680. Des règles plus particulières pourront être inscrites dans les actes constitutifs de ces agences afin de tenir compte de leurs attributions spécifiques. Europol et le Parquet européen restent pour l’instant exclus du champ d’application du Règlement. Il est prévu que la Commission réexamine le Règlement en 2022.
« C’était un défi d’avoir ces nouvelles règles en même temps que le lancement du RGPD », a souligné M. Ventsislav Karadzhov, président du groupe de travail DAPIX et président de la Commission de protection des données personnelles. Selon lui, « le nouveau cadre juridique permettra non seulement la circulation des données, mais contribuera aussi à la sécurité juridique. Avec le RGPD et la Directive (UE) 2016/680, l’Europe deviendra un modèle à imiter dans le monde entier ».
Prochaines démarches
Après la validation de l’accord politique atteint aujourd’hui par les représentants du Conseil de l’UE et du Parlement européen, le texte sera soumis à une relecture linguistique avant d’être officiellement adopté par les deux institutions. Les nouvelles règles deviendront applicables à partir de l’automne 2018.
