Les deux textes composant le « Paquet données personnelles » en discussion au niveau de l'Union européenne ont été publiés au Journal Officiel ce 4 mai 2016: d'une part, une directive sur la coopération policière visant à encadrer le transfert de données à des fins policières et, d'autre part, un règlement couvrant le traitement des données à caractère personnel, remplaçant la directive n° 1995/46/CE.

Le règlement est entré en vigueur 20 jours après sa publication, soit le 24 mai 2016. Ses dispositions seront directement applicables dans tous les Etats membre 2 ans après cette date.

Le règlement s'applique aux entreprises établies en dehors de l'Union européenne à partir du moment où elles ont une activité au sein de l'Union.

Il renforce l'information des particuliers par le responsable du traitement au travers d'informations complémentaires sur le traitement de leurs données personnelles. Le règlement prévoit également une obligation d'obtenir un consentement clair et explicite de la personne concernée quant à l'utilisation de ses données personnelles.

Les personnes concernées se voient par ailleurs reconnaître un droit à l'oubli, c'est-à-dire à l'effacement de leurs données personnelles, lorsqu'elles ne souhaitent plus que leurs données soient traitées, à condition qu'il n'existe aucune raison légitime de les conserver. Ce droit est cependant limité lorsque les données sont nécessaires à des fins historiques, statistiques ou de recherche scientifique, pour des raisons de santé publique ou tenant à la liberté d'expression, ainsi que quand la loi l'exige.

Le règlement crée par ailleurs de nombreuses obligations nouvelles pour les entreprises: désigner un détaché à la protection des données, tenir à jour un registre des traitements, réaliser des études d'impact préalables, mettre sur pied des procédures et lignes directrices internes pour garantir la sécurité des données et le respect des obligations fixées par le règlement, notifier les incidents de sécurité au régulateur, etc.

Chaque Etat membre doit désigner une ou plusieurs autorités publiques indépendantes, chargées de surveiller l'application du règlement et de veiller à l'application cohérente de ces règles à travers l'Union européenne. Lorsqu'un Etat membre désigne plusieurs autorités de contrôle, seule l'une d'entre elles devra être habilitée à représenter les autres au sein du Conseil européen de la protection des données, organe chargé d'assurer la coopération et la cohésion entre les différentes autorités nationales.

Le règlement instaure enfin des mécanismes de contrôle et de sanctions sévères, comme la possibilité de sanctionner les contrevenants par des amendes allant jusqu'à 4% du chiffre d'affaires annuel global de l'entreprise.