Évolution historique du règlement général sur la protection des données

Le saviez-vous ?

Désignation d'un délégué à la protection des données

• Certaines organisations, comme celles dont les activités principales comprennent le contrôle régulier et systématique des données sensibles ou à caractère personnel à grande échelle ainsi que celles du secteur public, devront désigner un délégué à la protection des données afin de garantir leur conformité avec le règlement général.

Rectificatif au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Rectificatif à la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil

Proposition de règlement du Parlement européen et du Conseil sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et agences de l'Union et sur la libre circulation de ces données, et abrogeant le règlement (CE) No 45/2001 et décision No 1247/2002 / CE [première lecture] - Préparation du trilogue

Les États membres devront avoir transposé dans leur législation nationale la directive sur la protection des données en matière pénale et judiciaire, qui entrera en vigueur à compter de ce jour.

Le saviez-vous ?

Respect de la vie privée dès la conception

• Les organisations qui traitent des données à caractère personnel doivent prendre les mesures nécessaires à la garantie de la protection des données dès la conception.
  Le respect de la vie privée dès la conception vise à intégrer le respect de la vie privée et la protection des données à la conception et à l’architecture des technologies et systèmes d’information et de communication afin que ces derniers soient conformes aux principes de respect de la vie privée et de protection des données.

La Commission européenne propose deux nouveaux règlements sur la vie privée et les communications électroniques (règlement «vie privée et communications électroniques») et sur les règles en matière de protection des données applicables aux institutions européennes [actuel règlement (CE) nº 45/2001] qui harmonisent les règles existantes avec le règlement général.

Le saviez-vous?

Respect de la vie privée par défaut

• Les organisations qui traitent des données à caractère personnel doivent prendre les mesures nécessaires à la garantie de la protection des données par défaut.
  Le respect de la vie privée par défaut exige la mise en place de mesures techniques et organisationnelles afin que seules les informations à caractère personnel nécessaires soient traitées, utilisées ou consultées à des fins spécifiques.

Le saviez-vous?

Vos droits à la protection des données

• Le règlement général renforce un large éventail de droits existants et en confère de nouveaux aux personnes physiques.
  Ces derniers comprennent le droit à l’effacement (droit à l’oubli): vous pouvez demander à ce qu’une organisation efface les données à caractère personnel qu’elle détient vous concernant, par exemple lorsque vos données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou lorsque vous avez retiré votre consentement.

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil

Le saviez-vous?

Vos droits à la protection des données (suite)

• Le règlement général renforce un large éventail de droits existants et en confère de nouveaux aux personnes physiques, notamment :
• le droit à la portabilité des données: vous avez le droit de recevoir les données à caractère personnel vous concernant de la part d’une organisation dans un format couramment utilisé afin que vous puissiez les partager aisément avec d’autres personnes ;
• le droit de ne pas faire l’objet d’un profilage: sauf dispositions contraires de la législation ou d’un contrat, les décisions vous concernant ne peuvent être prises sur la seule base du traitement automatique.

Le saviez-vous?

Transferts Internationaux de Données

• Le règlement général veille à ce que les droits et les protections conférés aux personnes physiques au sein de l’Union européenne soient conservés lorsque les données de ces derniers sont transférées vers un pays hors de l'Union.
• La Commission européenne continuera d’adopter des décisions d’adéquation dans le cas de pays offrant un cadre juridique pour la protection des données substantiellement équivalent à celui de l’Union.
• À défaut de décision d’adéquation, les données peuvent être transmises à un pays si l’organisation qui effectue le traitement établit des règles d’entreprise contraignantes, des clauses contractuelles ou d’autres garanties appropriées.
• Sans ces dernières, les transferts de données ne peuvent être effectués que dans des circonstances strictes, par exemple avec le consentement de la personne ou lorsque le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat.

Le Contrôleur européen de la protection des données publie ses recommandations aux colégislateurs européens responsables de la négociation du texte final du règlement général sous la forme de suggestions d’ordre rédactionnel. Il lance également une application mobile permettant de comparer la proposition de la Commission avec les derniers textes du Parlement et du Conseil.

le saviez-vous ?

Amendes

  Le règlement général introduit la possibilité d’imposer des amendes aux organisations qui enfreignent la législation de l’Union européenne en matière de protection des données, amendes pouvant s’élever jusqu’à 20 millions d’EUR ou 4 % du chiffre d’affaires mondial de l’entreprise. 

Did you know

Le Comité Européen de la Protection des Données

Le comité européen de la protection des données viendra remplacer le groupe de travail «article 29». Le Contrôleur européen de la protection des données assurera le secrétariat de ce nouvel organe européen indépendant dont seront membres toutes les autorités européennes chargées de la protection des données. Le rôle du comité européen de la protection des données sera de garantir la cohérence de la mise en œuvre du règlement général à travers l’Union, au moyen de lignes directrices, d’avis et de décisions.

Avec 621 votes pour, 10 votes contre et 22 abstentions, le Parlement européen manifeste son ferme soutien au règlement général en séance plénière.

Le saviez-vous ?

Mécanisme de guichet unique et contrôle de la cohérence

• Le règlement général introduit un point de contact unique pour les questions relatives à la protection transfrontière des données. Lorsqu’une organisation effectuant un traitement est établie dans plusieurs États membres et/ou lorsque des personnes physiques de plusieurs États membres sont concernées, l’autorité de contrôle de l’État membre où se situe l’établissement principal de l’organisation sera l’autorité chef de file responsable de l’adoption de mesures organisationnelles, en coopération avec l’ensemble des autorités de contrôle concernées.

Le groupe de travail «article 29» apporte une contribution supplémentaire au débat sur la réforme de la protection des données.

Le saviez-vous ?

Notification de violation des données

• Les organisations doivent informer leur autorité chargée de la protection des données des violations de données dans les 72 heures, à moins qu’il soit peu probable que la violation engendre un risque pour les personnes physiques. Dans des cas particuliers, ils devront informer les personnes concernées.

Le groupe de travail «article 29» adopte un avis sur la proposition de réforme de la protection des données.

Le saviez-vous ?

Consentement

• Le consentement de la personne concernée est l’une des rares circonstances dans lesquelles une organisation peut légalement traiter des données à caractère personnel. Ce consentement doit être libre, éclairé et univoque. Les personnes physiques peuvent retirer leur consentement à tout moment. En outre, le consentement au traitement de données à caractère personnel sensibles ainsi que le consentement au transfert de données à caractère personnel en dehors de l’Union doivent être explicites.
• Le consentement parental est requis pour les enfants âgés de 13 à 16 ans, en fonction de l’État membre.

Le Contrôleur européen de la protection des données adopte un avis sur le train de réformes sur la protection des données proposé par la Commission.

Le saviez-vous ?

Responsabilité

En vertu du principe de responsabilité, les organisations et tous tiers qui aident ces dernières au cours de leurs activités de traitement de données doivent être en mesure de démontrer qu’ils respectent les principes de protection des données. Il peut par exemple leur être demandé de documenter leurs activités de traitement afin de prouver qu’ils ont adopté les mesures et les dispositions appropriées pour satisfaire leurs obligations. Dans certains cas, les organisations devront procéder à une analyse d’impact relative à la protection des données.

La Commission européenne propose une réforme globale des règles adoptées en 1995 en matière de protection des données afin de renforcer les droits en matière de respect de la vie privée dans l’environnement en ligne et de donner un coup d’accélérateur à l’économie numérique européenne.

Le saviez-vous ?

Portée territoriale étendue

• Les organisations qui ne sont pas établies dans l’Union européenne et qui offrent des biens et des services à l’Union ou effectuent un suivi des personnes qui s’y trouvent, doivent se conformer au règlement général et désigner un représentant au sein de l’Union.

Le Contrôleur européen de la protection des données publie un avis sur la communication de la Commission européenne intitulée «Une approche globale de la protection des données à caractère personnel dans l’Union européenne».

Le saviez-vous ?

Le règlement général relance la mise à jour d'autres règlements

• Les États membres sont habilités à ajouter des règles ou des dérogations particulières au règlement général lorsqu’il est question de liberté d’expression et d’information, lorsqu'il s’agit d’un aspect lié au droit du travail, ou en vue d’archiver des recherches scientifiques et historiques. 
• De même, l’entrée en vigueur du règlement général exige la mise à jour d’autres règlements européens, comme la révision de la directive relative à la vie privée et aux communications électroniques qui régit la confidentialité des communications et l’utilisation des «cookies», ou le règlement (CE) nº 45/2001 qui s’applique aux institutions européennes lorsqu’elles traitent des données à caractère personnel.

La directive européenne sur la protection des données (directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) est adoptée.

Le saviez-vous ?

Le GDPR relance d'autres mesures relatives à la protection des données

• La Commission européenne procédera à la révision de la liste actuelle des pays qui offrent un niveau adéquat de protection des données à caractère personnel.
• Les autorités chargées de la protection des données, aux niveaux national et de l’Union, exploreront les mécanismes de certification en matière de protection des données (qui octroient des labels et des marques aux services) afin de renforcer la confiance des consommateurs.