Wikipédia

« Règlement général sur la protection des données » : différence entre les versions

Navigation interactive dans l’historique
← Modification précédenteModification suivante →
Contenu supprimé Contenu ajouté
VisuelWikicode
ajout de statistiques sur les taux de plaintes en 2018 (post RGPD) dans l'union européenne
Précisions et corrections
Ligne 23 :
Le '''règlement {{numéro}}2016/679''', dit '''règlement général sur la protection des données''' ('''RGPD''', ou encore '''GDPR''', de l'anglais ''{{Langue|en|General Data Protection Regulation}}''), est un [[règlement de l'Union européenne]] qui constitue le texte de référence en matière de protection des [[Données personnelles|données à caractère personnel]]<ref name=EuropaGDPR20160416>{{harvsp|Conseil européen - 11 avril 2016|id=Conseuro11416}}</ref>. Il renforce et unifie la protection des données pour les individus au sein de l'[[Union européenne]].
 
Après quatre années de négociations législatives, ce règlement a été définitivement adopté par le [[Parlement européen]] le 1427 [[avril 2016]]. Ses dispositions sont directement applicables dans l'ensemble des [[États membres de l'Union européenne|28 États membres]] de l'Union européenne à compter du 25 [[mai 2018]].
 
Ce règlement remplace la [[Directive 95/46/CE sur la protection des données personnelles|directive sur la protection des données personnelles]] (95/46/CE) adoptée en 1995 (article 94 du règlement) ; contrairement aux directives, les règlements n'impliquent pas que les États membres adoptent une loi de transposition pour être applicables<ref>{{Article|langue=fr-FR|prénom1=Pierre-Antoine|nom1=Rizk|titre=Le RGPD va-t-il ralentir l’Union européenne en matière d’intelligence artificielle ? - Actu IA|périodique=Actu IA|date=2018-03-15|lire en ligne=https://www.actuia.com/actualite/rgpd-va-t-ralentir-lunion-europeenne-matiere-dintelligence-artificielle/|consulté le=2018-04-10}}</ref>.
 
Les principaux objectifs du RGPD sont d'accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l'augmentation du pouvoir des autorités de régulationcontrôle<ref>{{Article|langue=fr-FR|titre=Le développement de l’intelligence artificielle limité par le RGPD|périodique=Le droit et l'intelligence artificielle|date=2017-11-24|lire en ligne=https://pierre-antoine-rizk.com/2017/11/24/le-developpement-de-lintelligence-artificielle-limite-par-le-rgpd/|consulté le=2018-04-12}}</ref>.
 
== Contexte ==
Ligne 62 :
|-
|Le droit à l’effacement (version allégée du [[droit à l'oubli]]) (article 17)
|La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs.<ref name=":1">{{Lien web|langue=fr|titre=CHAPITRE III - Droits de la personne concernée {{!}} CNIL|url=https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17|site=www.cnil.fr|consulté le=2018-05-18}}</ref>. Cela ne représente cependant pas un droit "absolu".
|-
|Le droit à la portabilité des données personnelles (article 20)
|Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et [[Données lisibles par machine|lisible par machine]], et ont le droit de transmettre ces données à un autre responsable du traitement. Lorsque la personne concernée exerce son [[droit à la portabilité]] des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.
Ce droit ne peut s’applique que si la base juridique du traitement (article 6 du RGPD) est le consentement ou le contrat.
|-
|Le profilage (article 22)
|Toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. Il y a cependant certaines exclusions, par exemple si la décision est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement.
|-
|Les principes de « protection des données dès la conception » et de « sécurité par défaut » (article 25)
Ligne 74 ⟶ 75 :
|-
|Les notifications en cas de fuite de données (article 33)
|LesEn cas de risque pour les personnes concernées, les entreprises et les organismes sont tenus de notifier dès que possible l'autorité nationale de protection en cas de violations gravesde données. Lorsqu'une violation de données afinà quecaractère personnel est susceptible d'engendrer un risque élevé pour les utilisateursdroits puissentet prendrelibertés des mesurespersonnes concernées, alors ces dernières doivent également en être appropriéesinformées.
|-
|La possibilité de désigner un [[délégué à la protection des données]]<ref>{{Lien web|langue=fr|titre=Devenir délégué à la protection des données personnelles|url=https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees|site=cnil.fr|éditeur=CNIL}}</ref>(article 37-1)
|Cette nominationdésignation est obligatoire lorsque :
 
* « le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle » (art. 37-1.a) ;
Ligne 87 ⟶ 88 :
|-
|L'étude d'impact sur la vie privée (article 35)
|Toutes les activités qui peuvent avoir des conséquences importantes en matière de protection de données personnelles doivent être précédées d’une étude d’impact sur la vie privée qui doit aussi prévoir les mesures pour diminuer les conséquences possibles des dommages potentiels relatifs la protection des données personnelles. Le déléguéresponsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données doiteffectuée consulterau l’autoritétitre de contrôlel'article avant35 deindique mettreque enle traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de œuvremesures lespour activitésatténuer enle questionrisque.
|-
|Les sanctions plus importantes (article 83-6)
Ligne 93 ⟶ 94 :
|-
|La création du [[Comité européen de la protection des données]] (articles 68 et suivants)
|La création du [[Comité européen de la protection des données]] (réincarnation de l'ancien article 29 Working PartyG29) qui a autorité dans tout ce qui concerne l’interprétation du Règlement.
|-
|L'élaboration de codes de conduite (article 40) et certifications (article 42)
|L'élaboration de codes de conduite et certifications destinés à contribuer à la bonne application du présent règlement est encouragée.
|}
 
Ligne 102 ⟶ 103 :
 
=== Transposition ===
Étant un [[Règlement de l'Union européenne|règlement européen]], le RGPD est obligatoirement et directement applicable à l’ensemble des pays membres de l'[[Union européenne]]. Il n'est pas nécessaire de transposer cette réglementation dans le droit national pour la rendre applicable. Le ContrôleurComité européen de la protection des données (CEPD)<ref>[https://europa.eu/european-union/about-eu/institutions-bodies/european-data-protection-supervisor_fr]</ref> a été créé afin de permettre une coordination des actions des autorités de contrôle nationales de chaque pays européen et de veiller à la protection des données à caractère personnel.
 
Toutefois, le règlement prévoyait un renvoi à la réglementation nationale sur un certain nombre d'éléments et certaines dispositions nationales étaient en contradiction avec les nouvelles normes du règlement. Dans le cas de la France, cette dernière a adapté le droit interne, conformément au RGPD, par la loi du 20 juin 2018 relative à la protection des données personnelles<ref>[https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037085952 Loi du 20 juin 2018 relative à la protection des données personnelles]</ref>. Cette disposition vise à moderniser le droit français qui entrait en partie en contradiction avec certains articles du RGPD<ref>{{Lien web|langue=fr|titre=GDPR et droit français : une ordonnance tardive et limitée en préparation|url=https://www.cio-online.com/actualites/lire-gdpr-et-droit-francais-une-ordonnance-tardive-et-limitee-en-preparation-9956.html|site=www.cio-online.com|consulté le=2018-11-25}}</ref>. Par ailleurs, cette loi donne à la [[Commission nationale de l'informatique et des libertés (France)|CNIL]] des missions supplémentaires et un pouvoir de contrôle et de sanction accrue en matière de protection des données<ref>{{Article|langue=fr-FR|auteur1=|titre=Description du Règlement général sur la protection des données|périodique=Droit.fr - Référence juridique|date=22 juin 2018|issn=|lire en ligne=https://www.droit.fr/definition/definition-rgpd-reglement-general-protection-donnees/|consulté le=2018-06-22|pages=}}</ref>.
Ligne 159 ⟶ 160 :
L'article 83<ref name=:0/> du RGPD, liste les conditions qui permettent à la CNIL d'appliquer une sanction administrative aux entreprises ou organismes qui auraient violé une des réglementations du règlement. La CNIL doit veiller à ce que les amendes qui seront imposés soient « ''effectives, proportionnées et dissuasives'' ».
 
L'une des premières amendes administratives peut atteindre jusqu'à {{unité|10000000|€}} ou pour une entreprise, jusqu'à {{unité|42|%}} de son chiffre d'affaires annuel mondial total de l'exercice précédent. Le montant retenu concerne toujours le montant de la sanction le plus élevé. Cette amende administrative est appliquée lorsque les manquements aux obligations du RGPD sont de nature suivante<ref name=":0">{{Lien web|langue=fr|titre=CHAPITRE VIII - Voies de recours, responsabilité et sanctions {{!}} CNIL|url=https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre8#Article84|site=www.cnil.fr|date=|consulté le=2018-11-29}}</ref> :
 
* obligations incombant au responsable du traitement et au sous-traitant ;
Ce document provient de « https://fr.wikipedia.org/wiki/Règlement_général_sur_la_protection_des_données ».