« Règlement général sur la protection des données » : différence entre les versions
Contenu supprimé Contenu ajouté
ajout de statistiques sur les taux de plaintes en 2018 (post RGPD) dans l'union européenne |
Précisions et corrections |
||
Ligne 23 :
Le '''règlement {{numéro}}2016/679''', dit '''règlement général sur la protection des données''' ('''RGPD''', ou encore '''GDPR''', de l'anglais ''{{Langue|en|General Data Protection Regulation}}''), est un [[règlement de l'Union européenne]] qui constitue le texte de référence en matière de protection des [[Données personnelles|données à caractère personnel]]<ref name=EuropaGDPR20160416>{{harvsp|Conseil européen - 11 avril 2016|id=Conseuro11416}}</ref>. Il renforce et unifie la protection des données pour les individus au sein de l'[[Union européenne]].
Après quatre années de négociations législatives, ce règlement a été définitivement adopté par le [[Parlement européen]] le
Ce règlement remplace la [[Directive 95/46/CE sur la protection des données personnelles|directive sur la protection des données personnelles]] (95/46/CE) adoptée en 1995 (article 94 du règlement) ; contrairement aux directives, les règlements n'impliquent pas que les États membres adoptent une loi de transposition pour être applicables<ref>{{Article|langue=fr-FR|prénom1=Pierre-Antoine|nom1=Rizk|titre=Le RGPD va-t-il ralentir l’Union européenne en matière d’intelligence artificielle ? - Actu IA|périodique=Actu IA|date=2018-03-15|lire en ligne=https://www.actuia.com/actualite/rgpd-va-t-ralentir-lunion-europeenne-matiere-dintelligence-artificielle/|consulté le=2018-04-10}}</ref>.
Les principaux objectifs du RGPD sont d'accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l'augmentation du pouvoir des autorités de
== Contexte ==
Ligne 62 :
|-
|Le droit à l’effacement (version allégée du [[droit à l'oubli]]) (article 17)
|La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs.<ref name=":1">{{Lien web|langue=fr|titre=CHAPITRE III - Droits de la personne concernée {{!}} CNIL|url=https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17|site=www.cnil.fr|consulté le=2018-05-18}}</ref>. Cela ne représente cependant pas un droit "absolu".
|-
|Le droit à la portabilité des données personnelles (article 20)
|Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et [[Données lisibles par machine|lisible par machine]], et ont le droit de transmettre ces données à un autre responsable du traitement. Lorsque la personne concernée exerce son [[droit à la portabilité]] des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.
Ce droit ne peut s’applique que si la base juridique du traitement (article 6 du RGPD) est le consentement ou le contrat.
|-
|Le profilage (article 22)
|Toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. Il y a cependant certaines exclusions, par exemple si la décision est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement.
|-
|Les principes de « protection des données dès la conception » et de « sécurité par défaut » (article 25)
Ligne 74 ⟶ 75 :
|-
|Les notifications en cas de fuite de données (article 33)
|
|-
|La possibilité de désigner un [[délégué à la protection des données]]<ref>{{Lien web|langue=fr|titre=Devenir délégué à la protection des données personnelles|url=https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees|site=cnil.fr|éditeur=CNIL}}</ref>(article 37-1)
|Cette
* « le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle » (art. 37-1.a) ;
Ligne 87 ⟶ 88 :
|-
|L'étude d'impact sur la vie privée (article 35)
|Toutes les activités qui peuvent avoir des conséquences importantes en matière de protection de données personnelles doivent être précédées d’une étude d’impact sur la vie privée qui doit aussi prévoir les mesures pour diminuer les conséquences possibles des dommages potentiels relatifs la protection des données personnelles. Le
|-
|Les sanctions plus importantes (article 83-6)
Ligne 93 ⟶ 94 :
|-
|La création du [[Comité européen de la protection des données]] (articles 68 et suivants)
|La création du [[Comité européen de la protection des données]] (réincarnation de l'ancien article
|-
|L'élaboration de codes de conduite (article 40) et certifications (article 42)
|L'élaboration de codes de conduite et certifications destinés à contribuer à la bonne application du présent règlement est encouragée.
|}
Ligne 102 ⟶ 103 :
=== Transposition ===
Étant un [[Règlement de l'Union européenne|règlement européen]], le RGPD est obligatoirement et directement applicable à l’ensemble des pays membres de l'[[Union européenne]]. Il n'est pas nécessaire de transposer cette réglementation dans le droit national pour la rendre applicable. Le
Toutefois, le règlement prévoyait un renvoi à la réglementation nationale sur un certain nombre d'éléments et certaines dispositions nationales étaient en contradiction avec les nouvelles normes du règlement. Dans le cas de la France, cette dernière a adapté le droit interne, conformément au RGPD, par la loi du 20 juin 2018 relative à la protection des données personnelles<ref>[https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037085952 Loi du 20 juin 2018 relative à la protection des données personnelles]</ref>. Cette disposition vise à moderniser le droit français qui entrait en partie en contradiction avec certains articles du RGPD<ref>{{Lien web|langue=fr|titre=GDPR et droit français : une ordonnance tardive et limitée en préparation|url=https://www.cio-online.com/actualites/lire-gdpr-et-droit-francais-une-ordonnance-tardive-et-limitee-en-preparation-9956.html|site=www.cio-online.com|consulté le=2018-11-25}}</ref>. Par ailleurs, cette loi donne à la [[Commission nationale de l'informatique et des libertés (France)|CNIL]] des missions supplémentaires et un pouvoir de contrôle et de sanction accrue en matière de protection des données<ref>{{Article|langue=fr-FR|auteur1=|titre=Description du Règlement général sur la protection des données|périodique=Droit.fr - Référence juridique|date=22 juin 2018|issn=|lire en ligne=https://www.droit.fr/definition/definition-rgpd-reglement-general-protection-donnees/|consulté le=2018-06-22|pages=}}</ref>.
Ligne 159 ⟶ 160 :
L'article 83<ref name=:0/> du RGPD, liste les conditions qui permettent à la CNIL d'appliquer une sanction administrative aux entreprises ou organismes qui auraient violé une des réglementations du règlement. La CNIL doit veiller à ce que les amendes qui seront imposés soient « ''effectives, proportionnées et dissuasives'' ».
L'une des premières amendes administratives peut atteindre jusqu'à {{unité|10000000|€}} ou pour une entreprise, jusqu'à {{unité|
* obligations incombant au responsable du traitement et au sous-traitant ;
|