Règlement général sur la protection des données (RGPD)
«
Le règlement contient de nombreux changements clés, tels que :
- Un cadre harmonisé : Il y aura un seul ensemble de règles relatives à la protection des données, directement applicable dans tous les États membres de l'Union Européenne, atténuant ainsi la fragmentation actuelle des lois nationales de protection des données.
- Une application extra-territoriale : Le règlement s'appliquera aux entreprises établies en dehors de l'Union européenne qui traitent les données relatives aux activités des organisations de l'UE. Les sociétés non-européennes seront également soumises au règlement si elles ciblent les résidents de l'UE par le profilage ou proposent des biens et services à des résidents européens (article 3 du Règlement).
- Un consentement « explicite » et « positif » : les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées.
- Le droit à l’effacement (aussi appelé « droit à l’oubli ») : La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs (article 17).
- Le droit à la portabilité des données personnelles : Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible (article 20).
- Profilage : toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire (article 22 du Règlement).
- Des principes de « protection des données dès la conception » et de « sécurité par défaut » : Le règlement européen définit le principe de « protection des données dès la conception » (en anglais : Privacy by design) qui impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel. De plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé (article 25 du Règlement).
- Des notifications en cas de fuite de données : les entreprises et les organismes seront tenus dès que possible de notifier l'autorité nationale de protection en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (article 33 du Règlement).
- La nomination obligatoire d'un délégué à la protection des données (Data Protection Officer en anglais) pour les organismes publics ou privés dont « les activités de base [...] exigent un suivi régulier et systématique à grande échelle des personnes concernées » (article 37). Il doit être associé à toutes les questions de protection des données à caractère personnel. Ses principales missions sont de contrôler le respect du règlement, de conseiller le responsable des traitements sur son application et de faire office de point de contact avec l'autorité de contrôle.
- Toutes les activités qui peuvent avoir des conséquences importances en matière de protection de données personnelles devront être précédées d’une évaluation d’impact qui devra aussi prévoir les mesures pour diminuer l’impact des dommages potentiels à la protection des données personnelles. Le DPO devra consulter l’autorité de contrôle avant de mettre en œuvre les activités en question (article 35 du Règlement).
- Des sanctions plus importantes : le règlement donnent aux régulateurs le pouvoir d'infliger des sanctions financières allant jusqu'à 4 % du chiffre d'affaires mondial annuel d'une entreprise ou 20 millions d'euros (le montant le plus élevé étant retenu), en cas de non-respect (article 83.6 du Règlement).
- La création du Comité européen de la protection des données ("European Data Protection Board") (réincarnation de l'ancien Article 29 Working Party) qui sera une autorité dans tout ce qui concerne l’interprétation du Règlement (articles 68 et suivants du Règlement).
- L'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement est encouragée (article 40 du Règlement).
»
http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679
—
Permalink