Règlement général sur la protection des données

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche
Règlement général sur la protection des données

Présentation
Titre Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
Référence 2016/679
Organisation internationale Drapeau de l’Union européenne Union européenne
Territoire d'application États membres de l'Union européenne
Type Règlement de l'Union européenne
Branche Droit de l'Union européenne, Droit de l'informatique
Adoption et entrée en vigueur
Adoption
Promulgation
Entrée en vigueur et applicable à partir du

Lire en ligne

Règlement général sur la protection des données (sur Eur-lex)

Le règlement no 2016/679, dit règlement général sur la protection des données (RGPD, ou encore GDPR, de l'anglais General Data Protection Regulation), est un règlement de l'Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel[1]. Il renforce et unifie la protection des données pour les individus au sein de l'Union européenne.

Après quatre années de négociations législatives, ce règlement a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions sont directement applicables dans l'ensemble des 28 États membres de l'Union européenne à compter du 25 mai 2018.

Ce règlement remplace la directive sur la protection des données personnelles adoptée en 1995 (article 94 du règlement) ; contrairement aux directives, les règlements n'impliquent pas que les États membres adoptent une loi de transposition pour être applicables[2].

Les principaux objectifs du RGPD sont d'accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l'augmentation du pouvoir des autorités de régulation[3].

Contexte[modifier | modifier le code]

En janvier 2012, la Commission européenne a proposé une réforme globale des règles en matière de protection des données personnelles dans l’Union européenne. Cette réforme comporte deux volets :

  • la mise à jour et la modernisation des principes énoncés dans la directive européenne de 1995 sur la protection des données, sous la forme de ce règlement général sur la protection des données[1] ;
  • la rédaction d'une nouvelle Directive relative à la protection des données à caractère personnel dans le cadre des activités policières et judiciaires[4].

L’objectif de ce nouveau règlement est de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises »[1].

Le Parlement européen a modifié ce règlement et l'a adopté le 12 mars 2014 en 1re lecture[5]. Les négociations se sont poursuivies entre les délégations de la Commission européenne, du Parlement européen et du Conseil de l'Union européenne et ont pris fin le 15 décembre 2015. Le projet de règlement a été voté en Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) le 17 décembre 2015[6],[7]. La France a transposé le règlement dans une loi adoptée le 14 mai 2018[8]

Le règlement européen a été publié le dans le Journal officiel de l'Union européenne et entre en vigueur le vingtième jour suivant celui de sa publication[9].

Ce règlement, applicable à partir du 25 mai 2018, est « obligatoire dans tous ses éléments et directement applicable dans tout État membre »[10]. Le scandale Facebook-Cambridge Analytica, autour de la récupération et de l'analyse de données à des fins électorales, éclate peu de temps avant sa mise en application.

Principales dispositions[modifier | modifier le code]

Le règlement contient des confirmations ou des évolutions, avec des principes clés, tels que[11] :

  • le cadre harmonisé : il y a désormais un seul ensemble de règles relatives à la protection des données, directement applicable dans tous les États membres de l'Union européenne, atténuant ainsi la fragmentation actuelle des lois nationales de protection des données ;
  • l'application extra-territoriale : le règlement s'applique aux entreprises établies en dehors de l'Union européenne qui traitent les données relatives aux activités des organisations de l'UE. Les sociétés non européennes sont également soumises au règlement dès qu'elles ciblent les résidents de l'UE par le profilage ou proposent des biens et services à des résidents européens (article 3 du règlement) ;
  • le consentement « explicite » et « positif » : les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées ;
  • le droit à l’effacement (version allégée du droit à l'oubli) : la personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs (article 17)[12] ;
  • le droit à la portabilité des données personnelles : les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible (article 20) ;
  • le profilage : toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire (article 22 du règlement) ;
  • les principes de « protection des données dès la conception » et de « sécurité par défaut » : le règlement européen définit le principe de « protection des données dès la conception » (en anglais : Privacy by design) qui impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel[13]. De plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé[13] (article 25 du règlement) ;
  • les notifications en cas de fuite de données : les entreprises et les organismes sont tenus de notifier dès que possible l'autorité nationale de protection en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (article 33 du règlement) ;
  • la possibilité de désigner un délégué à la protection des données[14]. Cette nomination est obligatoire lorsque :
    • « le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle » (article 37(1)(a)]) ;
    • « les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées » (art. 37-1-b) ;
    • « les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. » (art. 37(1)(c)) Sont ainsi visées les données « sensibles » dont notamment celles relatives à l'état de santé des personnes, leur état de fragilité, ou encore les données à caractère personnel relatives aux infractions et condamnations.
  • le délégué à la protection des données doit être associé à toutes les questions de protection des données à caractère personnel. Ses principales missions sont de contrôler le respect du règlement, de conseiller le responsable des traitements sur son application et de faire office de point de contact avec l'autorité de contrôle, de répondre aux sollicitations de personnes qui souhaitent exercer leurs droits ;
  • toutes les activités qui peuvent avoir des conséquences importantes en matière de protection de données personnelles doivent être précédées d’une étude d’impact sur la vie privée qui doit aussi prévoir les mesures pour diminuer les conséquences possibles des dommages potentiels relatifs la protection des données personnelles. Le délégué à la protection des données doit consulter l’autorité de contrôle avant de mettre en œuvre les activités en question (article 35 du Règlement) ;
  • les sanctions plus importantes : le règlement donne aux régulateurs le pouvoir d'infliger des sanctions financières allant jusqu'à 4 % du chiffre d'affaires mondial annuel d'une entreprise ou 20 millions d'euros (le montant le plus élevé étant retenu), en cas de non-respect (article 83(6) du règlement).
  • la création du Comité européen de la protection des données (réincarnation de l'ancien article 29 Working Party) qui a autorité dans tout ce qui concerne l’interprétation du Règlement (articles 68 et suivants du règlement) ;
  • l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement est encouragée (article 40 du règlement).

Application[modifier | modifier le code]

En France, le règlement, bien qu'applicable directement et ne nécessitant pas de transposition, a été adapté en droit interne par la loi du 20 juin 2018 relative à la protection des données personnelles[15]. Par ailleurs, cette loi donne à la CNIL des missions supplémentaires et un pouvoir de contrôle et de sanction accru en matière de protection des données[16].

Plusieurs mois après l'entrée en application du RGPD, certains sites restent délibérément inaccessibles aux adresses IP en provenance de l'Union Européenne ; c'est le cas d'un millier de sites d'information américains, et d'approximativement un tiers des 100 plus importants d'entre eux[17]. La responsabilité de ce blocage incombe aux sites eux-mêmes, selon les uns, ou à la réglementation européenne, selon les autres[18].

C'est le cas des journaux en langue anglaise du groupe de presse Tronc (Chicago Tribune, Los Angeles Times,...) (États-Unis) et du site en langue française du Journal de Montréal (Québec, Canada).

Sources[modifier | modifier le code]

Références[modifier | modifier le code]

  1. a b et c Conseil européen - 11 avril 2016
  2. Pierre-Antoine Rizk, « Le RGPD va-t-il ralentir l’Union européenne en matière d’intelligence artificielle ? - Actu IA », Actu IA,‎ (lire en ligne)
  3. « Le développement de l’intelligence artificielle limité par le RGPD », Le droit et l'intelligence artificielle,‎ (lire en ligne)
  4. Conseil européen - 2016
  5. Adoption du règlement
  6. Cécile Ducourtieux et Sarah Belouezzane, « Accord de principe de l’UE sur la protection des données personnelles en ligne », Le Monde,‎ (lire en ligne)
  7. Amaelle Guiton, « L'Europe s'accorde sur la protection des données personnelles », Libération,‎ (lire en ligne)
  8. Adoption du projet de loi (site de l'Assemblée Nationale).
  9. Isabelle Cantero, « Règlement européen sur la protection des données personnelles : un texte unique… mais non isolé », L'Usine digitale,‎ (lire en ligne)
  10. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE), (lire en ligne)
  11. « De nouvelles règles sur la protection des données placent les citoyens aux commandes », Parlement européen,
  12. « CHAPITRE III - Droits de la personne concernée | CNIL », sur www.cnil.fr (consulté le 18 mai 2018)
  13. a et b Alain Bensoussan, « Adoption du Paquet « Protection des données à caractère personnel » », Le Figaro,‎ (lire en ligne)
  14. « Devenir délégué à la protection des données personnelles », sur cnil.fr, CNIL
  15. Loi du 20 juin 2018 relative à la protection des données personnelles
  16. « Description du Règlement général sur la protection des données », Droit.fr - Référence juridique,‎ (lire en ligne)
  17. (en) « More than 1,000 U.S. news sites are still unavailable in Europe, two months after GDPR took effect », Nieman Lab,‎ (lire en ligne)
  18. « RGPD : des sites américains claquent la porte au nez des internautes européens », L'Obs,‎ (lire en ligne)

Bibliographie[modifier | modifier le code]

Compléments[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]