RGPD
Articles

Nouvelle règlementation européenne en matière de protection des données personnelles : RGPD

- Publié le 19/05/2022

De quoi s’agit-il ?

Le RGPD (Règlement Général sur la Protection des Données) est l’acronyme français de « GDPR » General Data Protection Regulation. Le Règlement Général sur la Protection des Données n°2016/679 (RGPD) a été adopté le 27 avril 2016 et entrera en vigueur le 25 mai 2018. Il viendra remplacer la directive 95/46/CE du 24 octobre 1995. A compter de cette date, les dispositions du RGPD seront directement applicables dans tous les États membres de l’Union Européenne.

Quel est son but ?

Le RGPD a pour vocation de moderniser les dispositions européennes relatives à la protection des données et uniformiser les législations des Etats membres de l’Union Européenne (UE) en la matière.
Il a pour but selon le communiqué de presse du Parlement Européen de rendre aux citoyens le contrôle de leurs données personnelles et de créer un niveau élevé et uniforme de protection des données à travers l’UE.
Selon la CNIL, la réforme de la protection des données poursuit les 3 objectifs suivants :
   1. Renforcer les droits des personnes 
   2. Responsabiliser les acteurs traitant des données
   3. Et crédibiliser la régulation

Le règlement vient renforcer les droits des individus en énonçant les principes relatifs au traitement des données personnelles (notamment le principe de minimisation des données), en donnant une définition du consentement, en établissant des mesures spécifiques pour la protection des mineurs, en introduisant les actions collectives, en instaurant un droit à réparation en cas de dommages matériel ou moral lors d’un préjudice subi.

Le RGPD crée de nouveaux droits parmi lesquels nous pouvons citer :
   • le droit à la portabilité des données (art 20),
   • le droit à la limitation du traitement (art 18),
   • le droit à l’effacement des données « droit à l’oubli » (art 17) […]

Focus sur certains changements apportés par le RGPD :

   • Consentement explicite
Le principe posé par le RGPD est que les personnes concernées devront donner leur consentement par un acte positif clair, de manière libre, spécifique et éclairée (art 7, considérant 32).
Par exception, certains traitements seront licites sans le consentement des personnes concernées (art 6 b à f).

   • Transparence et formalités allégées (privacy by design) :
Le RGPD pose le principe de transparence qui exige que toute information et communication relatives au traitement des données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples (considérants 39 et 58).
Les formalités déclaratives auprès de la CNIL sont amenées à être allégées, le RGPD reposant plutôt sur une logique de responsabilisation et de transparence (art 25) au travers notamment de la réalisation d’analyses d’impact préalables à la mise en place de certains traitements de données personnelles (art 35).

   • Obligation de notification en cas de violation des données personnelles :
Le Règlement généralise l’obligation de notification des failles de sécurité à l’autorité de contrôle compétente (en France, il s’agit de la CNIL), et ce au plus tard 72 heures après la découverte de la faille entrainant une violation des données personnelles (art 33) au-delà de ce délai le responsable devra indiquer également les motifs de son retard de notification.

Le Sous-traitant doit aussi notifier toute violation des données personnelles dans les meilleurs délais dès qu’il en a connaissance.
En cas de violation de données personnelles, le RGPD, a également créé une nouvelle obligation de communication aux personnes concernées par la violation (art 34)

   • Création d’un registre des traitements (art 30) :
Cette obligation s’applique aux responsables de traitement pour les traitements effectués sous leur responsabilité mais également aux sous-traitants. Il est précisé que cette obligation est uniquement applicable aux sociétés de plus de 250 personnes, sauf si le traitement qu’elles effectuent peut comporter un risque pour les droits et libertés des personnes concernées (ne soit pas occasionnel, porte sur des catégories particulières, ou relative à des condamnations).

Exemples d’actions à mettre en place pour se conformer :

   • Désigner un Délégué à la protection des données (art 37 à 39)  
   • Faire un état des lieux de l’ensemble des traitements de données personnelles mis en place par sa société en tant que responsable de traitement et éventuellement sous-traitant (cartographies des traitements)
   • Création de codes de conduites qui devront être validés par la CNIL ou un organisme que la CNIL aura elle-même agréé (art 40 à 43)
   • Réaliser des études d’impact et mettre en œuvre un niveau de sécurité adéquat (art 35)
   • Encadrer les transferts de données hors UE notamment par la signature de clauses contractuelles types, ou la mise en place de règles contraignantes (BCR), ou l’application d’un code de conduite approuvé ou d’un mécanisme de certification. (art 44 à 50)

Quelles sont les sanctions encourues ?

Le RGPD vient renforcer les pouvoirs de sanctions des autorités de contrôle nationales et indépendantes (en France, la CNIL) (art 55 à 59).
En cas de violations des dispositions du RGPD, les amendes peuvent s’élever en fonction de l’infraction, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Les sanctions ont été revues à la hausse par rapport aux sanctions prévues la Directive 95/46 et la loi Informatique et Libertés afin de limiter l’abus dans le traitement des données.

Nicole Belloubet, garde des sceaux, ministre de la Justice, a annoncé le 13 décembre 2017 en conseil des ministres, le projet de loi relatif à la protection des données personnelles dont le but est d’accorder la loi française informatique et libertés du 6 janvier 1978 au droit européen.  

Retrouvez le communiqué de presse du Ministère de la Justice expliquant le projet de loi relatif à la protection des données personnelles.