Règlement général sur la protection des données - General Data Protection Regulation

« RGPD » redirige ici. Pour le terme économique, voir Produit intérieur brut régional .

(UE) 2016/679
Titre Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (directive sur la protection des données)
Faite par Parlement européen et Conseil de l'Union européenne
Référence de la revue L119, 4 mai 2016, p. 1–88
Histoire
Date de création 14 avril 2016
Date de mise en oeuvre 25 mai 2018
Textes préparatoires
Proposition de la Commission COM/2012/010 final – 2012/0010 (COD)
Autre législation
Remplace Directive sur la protection des données
Législation actuelle

Le Règlement sur la protection des données générales (UE) 2016/679 ( de GDPR ) est un règlement dans la législation européenne sur la protection des données et la vie privée dans l' Union européenne (UE) et l' Espace économique européen (EEE). Il traite également du transfert de données personnelles en dehors des zones de l'UE et de l'EEE. L'objectif principal du RGPD est d'améliorer le contrôle et les droits des individus sur leurs données personnelles et de simplifier l'environnement réglementaire pour les affaires internationales . Remplaçant la directive 95/46/CE sur la protection des données , le règlement contient des dispositions et des exigences relatives au traitement des données personnelles des personnes physiques (anciennement appelées personnes concernées dans le RGPD) qui se trouvent dans l'EEE, et s'applique à toute entreprise, indépendamment de son emplacement et la nationalité ou la résidence des personnes concernées, c'est-à-dire le traitement des informations personnelles des personnes au sein de l'EEE.

Le RGPD a été adopté le 14 avril 2016 et est entré en vigueur le 25 mai 2018. Comme le RGPD est un règlement et non une directive , il est directement contraignant et applicable, mais offre une flexibilité pour que certains aspects du règlement soient ajustés par chaque membre. États.

Le règlement est devenu un modèle pour de nombreuses lois nationales en dehors de l'UE, notamment au Royaume-Uni, en Turquie, à Maurice , au Chili, au Japon, au Brésil, en Corée du Sud, en Argentine et au Kenya. Le California Consumer Privacy Act (CCPA), adopté le 28 juin 2018, présente de nombreuses similitudes avec le RGPD.

Contenu

Le RGPD 2016 comporte onze chapitres, concernant les dispositions générales, les principes, les droits de la personne concernée, les devoirs des responsables du traitement ou des sous-traitants, les transferts de données à caractère personnel vers des pays tiers, les autorités de contrôle, la coopération entre les États membres, les recours, la responsabilité ou les sanctions en cas de violation de droits et dispositions finales diverses.

Dispositions générales

Le règlement s'applique si le responsable du traitement (une organisation qui collecte des données auprès des résidents de l'UE), ou le sous-traitant (une organisation qui traite les données pour le compte d'un responsable du traitement comme les fournisseurs de services cloud ), ou la personne concernée (personne) est basée dans l'UE . Dans certaines circonstances, le règlement s'applique également aux organisations basées en dehors de l'UE si elles collectent ou traitent des données personnelles de personnes situées à l'intérieur de l'UE. Le règlement ne s'applique pas au traitement de données par une personne pour une "activité purement personnelle ou domestique et donc sans lien avec une activité professionnelle ou commerciale". (Considérant 18)

Selon la Commission européenne , « les données personnelles sont des informations qui se rapportent à un individu identifié ou identifiable. Si vous ne pouvez pas identifier directement un individu à partir de ces informations, vous devez alors déterminer si l'individu est toujours identifiable. Vous devez prendre en compte les informations vous traitez avec tous les moyens raisonnablement susceptibles d'être utilisés par vous ou par toute autre personne pour identifier cette personne." Les définitions précises de termes tels que « données à caractère personnel », « traitement », « personne concernée », « responsable du traitement » et « sous-traitant » sont énoncées à l' article 4 du règlement.

Le règlement ne prétend pas s'appliquer au traitement des données personnelles pour les activités de sécurité nationale ou l'application de la loi de l'UE ; cependant, des groupes industriels préoccupés par un éventuel conflit de lois se sont demandé si l' article 48 du RGPD pouvait être invoqué pour chercher à empêcher un responsable du traitement soumis aux lois d'un pays tiers de se conformer à un ordre juridique émanant des forces de l'ordre, judiciaires, judiciaires, ou les autorités nationales de sécurité à divulguer à ces autorités les données personnelles d'une personne de l'UE, que les données résident ou non dans l'UE. L'article 48 stipule que tout jugement d'une cour ou un tribunal et toute décision d'une autorité administrative d'un pays tiers obligeant un responsable du traitement ou un sous-traitant à transférer ou à divulguer des données à caractère personnel ne peuvent être reconnus ou exécutoires de quelque manière que ce soit, à moins qu'ils ne soient fondés sur un accord international, comme un traité d'entraide judiciaire en vigueur entre le pays tiers (non membre de l'UE) demandeur et l'UE ou un État membre. Le paquet de réforme de la protection des données comprend également une directive distincte sur la protection des données pour le secteur de la police et de la justice pénale qui prévoit des règles sur les échanges de données personnelles aux niveaux national, européen et international.

Un ensemble unique de règles s'applique à tous les États membres de l'UE. Chaque État membre établit une autorité de surveillance (AS) indépendante pour entendre et enquêter sur les plaintes, sanctionner les infractions administratives, etc. Les AS de chaque État membre coopèrent avec d'autres AS, se prêtant mutuellement assistance et organisant des opérations conjointes. Si une entreprise a plusieurs établissements dans l'UE, elle doit avoir une seule SA comme « autorité principale », en fonction de l'emplacement de son « établissement principal » où se déroulent les principales activités de traitement. L'autorité chef de file agit ainsi comme un « guichet unique » pour superviser toutes les activités de traitement de cette entreprise dans l'ensemble de l'UE ( articles 46 à 55 du RGPD). Un comité européen de la protection des données (EDPB) coordonne les SA. L'EDPB remplace ainsi le groupe de travail « Article 29» sur la protection des données. Il existe des exceptions pour les données traitées dans un contexte d'emploi ou de sécurité nationale qui peuvent encore être soumises à des réglementations nationales individuelles ( articles 2(2)(a) et 88 du RGPD).

Des principes

À moins qu'une personne concernée n'ait donné son consentement éclairé au traitement des données pour une ou plusieurs finalités, les données personnelles ne peuvent être traitées que s'il existe au moins une base légale pour le faire. L'article 6 stipule que les fins licites sont :

  • (a) Si la personne concernée a donné son consentement au traitement de ses données personnelles ;
  • (b) Pour remplir des obligations contractuelles avec une personne concernée, ou pour des tâches à la demande d'une personne concernée qui est en train de conclure un contrat ;
  • (c) Pour se conformer aux obligations légales d'un responsable du traitement ;
  • (d) Pour protéger les intérêts vitaux d'une personne concernée ou d'un autre individu ;
  • e) Exécuter une mission d'intérêt public ou relevant de l'autorité publique ;
  • (f) Pour les intérêts légitimes d'un responsable du traitement ou d'un tiers, à moins que ces intérêts ne soient supplantés par les intérêts de la personne concernée ou ses droits conformément à la Charte des droits fondamentaux (en particulier dans le cas des enfants)

Si le consentement éclairé est utilisé comme base légale pour le traitement, le consentement doit avoir été explicite pour les données collectées et pour chaque finalité les données sont utilisées ( article 7 ; défini à l' article 4 ). Le consentement doit être une affirmation spécifique, librement donnée, clairement formulée et sans ambiguïté donnée par la personne concernée ; un formulaire en ligne qui a des options de consentement structurées comme une option de retrait sélectionnée par défaut est une violation du RGPD, car le consentement n'est pas affirmé sans ambiguïté par l'utilisateur. De plus, plusieurs types de traitement peuvent ne pas être « regroupés » dans une seule invite d'affirmation, car cela n'est pas spécifique à chaque utilisation des données, et les autorisations individuelles ne sont pas librement accordées. (Considérant 32)

Les personnes concernées doivent être autorisées à retirer ce consentement à tout moment, et le processus pour le faire ne doit pas être plus difficile qu'il ne l'était pour s'inscrire. ( Article 7, paragraphe 3 ) Un responsable du traitement ne peut refuser le service aux utilisateurs qui refusent leur consentement à traitement qui n'est pas strictement nécessaire à l'utilisation du service. ( Article 7(4) ) Le consentement pour les enfants, définis dans le règlement comme étant âgés de moins de 16 ans (bien qu'avec la possibilité pour les États membres de le faire individuellement aussi bas que 13 ans ( Article 8(1) ), doit être donnée par le parent ou le tuteur de l'enfant et vérifiable ( article 8 ).

Si le consentement au traitement a déjà été fourni en vertu de la directive sur la protection des données, un responsable du traitement n'a pas à obtenir à nouveau son consentement si le traitement est documenté et obtenu conformément aux exigences du RGPD (considérant 171).

Droits de la personne concernée

Transparence et modalités

L'article 12 exige que le responsable du traitement fournisse des informations à la « personne concernée sous une forme concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple, en particulier pour toute information adressée spécifiquement à un enfant ».

Informations et accès

Le droit d'accès ( article 15 ) est un droit de la personne concernée. Il donne aux personnes le droit d'accéder à leurs données personnelles et aux informations sur la manière dont ces données personnelles sont traitées. Un responsable du traitement doit fournir, sur demande, un aperçu des catégories de données traitées (article 15, paragraphe 1, point b)), ainsi qu'une copie des données réelles ( article 15, paragraphe 3 ); en outre, le responsable du traitement doit informer la personne concernée des détails du traitement, tels que les finalités du traitement ( article 15, paragraphe 1, point a) ), avec qui les données sont partagées ( article 15, paragraphe 1, point c) ) et comment il a acquis les données ( article 15, paragraphe 1, point g) ).

Une personne concernée doit pouvoir transférer des données à caractère personnel d'un système de traitement électronique à un autre, sans en être empêchée par le responsable du traitement. Les données qui ont été suffisamment anonymisées sont exclues, mais les données qui ont été seulement anonymisées mais qui restent possibles à relier à l'individu en question, par exemple en fournissant l'identifiant correspondant, ne le sont pas. Dans la pratique, cependant, fournir de tels identifiants peut être difficile, comme dans le cas de Siri d'Apple , où les données vocales et de transcription sont stockées avec un identifiant personnel auquel le fabricant restreint l'accès, ou dans le ciblage comportemental en ligne, qui repose fortement sur l' appareil. des empreintes digitales qui peuvent être difficiles à capturer, envoyer et vérifier.

Les données « fournies » par la personne concernée et les données « observées », telles que le comportement, sont incluses. En outre, les données doivent être fournies par le responsable du traitement dans un format électronique standard structuré et couramment utilisé. Le droit à la portabilité des données est prévu par l' article 20 du RGPD.

Rectification et effacement

Un droit à l'oubli a été remplacé par un droit d'effacement plus limité dans la version du RGPD adoptée par le Parlement européen en mars 2014. L'article 17 prévoit que la personne concernée a le droit de demander l'effacement des données personnelles la concernant. pour l'un quelconque d'un certain nombre de motifs dans un délai de 30 jours, y compris le non-respect de l' article 6, paragraphe 1, (licéité) qui comprend un cas (f) si les intérêts légitimes du responsable du traitement l'emportent sur les intérêts ou les droits et libertés fondamentaux des données sujet, qui nécessitent la protection des données personnelles (voir également Google Spain SL, Google Inc. contre Agencia Española de Protección de Datos, Mario Costeja González ).

Droit d'opposition et décisions automatisées

L'article 21 du RGPD permet à un individu de s'opposer au traitement des informations personnelles à des fins de marketing ou non liées au service. Cela signifie que le responsable du traitement doit accorder à un individu le droit d'arrêter ou d'empêcher le responsable du traitement de traiter ses données personnelles.

Il y a des cas où cette objection ne s'applique pas. Par exemple, si :

  1. L'autorité légale ou officielle est exercée
  2. « Intérêt légitime », lorsque l'organisation doit traiter des données afin de fournir à la personne concernée un service pour lequel elle s'est inscrite
  3. Une tâche menée pour l'intérêt public.

Le RGPD indique également clairement que le responsable du traitement doit informer les individus de leur droit d'opposition dès la première communication que le responsable du traitement a avec eux. Cela doit être clair et distinct de toute autre information fournie par le responsable du traitement et lui donner la possibilité de s'opposer au mieux au traitement de ses données.

Dans certains cas, le responsable du traitement peut refuser une demande, dans les cas où la demande d'objection est "manifestement infondée" ou "excessive", de sorte que chaque cas d'objection doit être examiné individuellement. D'autres pays comme le Canada envisagent également, conformément au RGPD, une législation visant à réglementer la prise de décision automatisée en vertu des lois sur la confidentialité, même s'il existe des questions de politique quant à savoir si c'est la meilleure façon de réglementer l'IA.

Contrôleur et processeur

Les contrôleurs de données doivent clairement divulguer toute collecte de données , déclarer la base légale et le but du traitement des données, et indiquer combien de temps les données sont conservées et si elles sont partagées avec des tiers ou en dehors de l'EEE. Les entreprises ont l'obligation de protéger les données des employés et des consommateurs dans la mesure où seules les données nécessaires sont extraites avec un minimum d'interférence avec la confidentialité des données des employés, des consommateurs ou des tiers. Les entreprises doivent avoir des contrôles internes et des réglementations pour divers départements tels que l'audit, les contrôles internes et les opérations. Les personnes concernées ont le droit de demander une copie portable des données collectées par un responsable du traitement dans un format commun, ainsi que le droit de faire effacer leurs données dans certaines circonstances. Les pouvoirs publics et les entreprises dont les activités principales consistent en un traitement régulier ou systématique de données personnelles, sont tenus d'employer un délégué à la protection des données (DPO), qui est chargé de gérer la conformité avec le RGPD. Les entreprises doivent signaler les violations de données aux autorités nationales de surveillance dans les 72 heures si elles ont un effet négatif sur la vie privée des utilisateurs. Dans certains cas, les contrevenants au RGPD peuvent être condamnés à une amende pouvant aller jusqu'à 20 millions d'euros ou jusqu'à 4 % du chiffre d'affaires mondial annuel de l'exercice précédent dans le cas d'une entreprise, selon le montant le plus élevé.

Pour pouvoir démontrer la conformité au RGPD, le responsable du traitement doit mettre en œuvre des mesures qui répondent aux principes de protection des données dès la conception et par défaut. L'article 25 exige que des mesures de protection des données soient intégrées au développement de processus commerciaux pour les produits et services. Ces mesures incluent la pseudonymisation des données personnelles, par le responsable du traitement, dès que possible (considérant 78). Il incombe au responsable du traitement de mettre en œuvre des mesures efficaces et d'être en mesure de démontrer la conformité des activités de traitement même si le traitement est effectué par un sous-traitant pour le compte du responsable du traitement (considérant 74). Lors de la collecte de données, les personnes concernées doivent être clairement informées de l'étendue de la collecte des données, de la base juridique du traitement des données personnelles, de la durée de conservation des données, si les données sont transférées à un tiers et/ou en dehors de l'UE , et toute prise de décision automatisée qui est prise sur une base uniquement algorithmique . Les personnes concernées doivent être informées de leurs droits à la vie privée sous le GDPR, y compris leur droit de révoquer le consentement aux données de traitement à tout moment, leur droit de voir leurs données personnelles et l' accès un aperçu de la façon dont il est en cours de traitement , leur droit d'obtenir un portable copie des données stockées , leur droit à l' effacement de leurs données dans certaines circonstances , leur droit de contester toute prise de décision automatisée qui aurait été prise sur une base uniquement algorithmique , et leur droit de déposer des réclamations auprès d'une autorité de protection des données . À ce titre, la personne concernée doit également recevoir les coordonnées du responsable du traitement et de son délégué à la protection des données désigné, le cas échéant.

Des analyses d'impact sur la protection des données ( article 35 ) doivent être menées lorsque des risques spécifiques se présentent pour les droits et libertés des personnes concernées. L'évaluation et l'atténuation des risques sont requises et l'approbation préalable des autorités de protection des données est requise pour les risques élevés.

L'article 25 exige que la protection des données soit intégrée au développement des processus commerciaux pour les produits et services. Les paramètres de confidentialité doivent donc être définis à un niveau élevé par défaut, et des mesures techniques et procédurales doivent être prises par le responsable du traitement pour s'assurer que le traitement, tout au long du cycle de vie du traitement, est conforme à la réglementation. Les responsables du traitement devraient également mettre en œuvre des mécanismes pour garantir que les données personnelles ne sont pas traitées à moins que cela ne soit nécessaire pour chaque objectif spécifique.

Un rapport de l' Agence de l'Union européenne pour la sécurité des réseaux et de l'information explique ce qui doit être fait pour assurer la protection de la vie privée et des données par défaut. Il précise que les opérations de chiffrement et de déchiffrement doivent être effectuées localement, et non par un service distant, car les clés et les données doivent rester au pouvoir du propriétaire des données si l'on veut garantir la confidentialité. Le rapport précise que le stockage de données externalisé sur des clouds distants est pratique et relativement sûr si seul le propriétaire des données, et non le service cloud, détient les clés de déchiffrement.

Pseudonymisation

Selon le RGPD, la pseudonymisation est un processus requis pour les données stockées qui transforme les données personnelles de telle manière que les données résultantes ne peuvent pas être attribuées à une personne concernée spécifique sans l'utilisation d'informations supplémentaires (comme alternative à l'autre option de données complètes anonymisation ). Un exemple est le cryptage , qui rend les données d'origine inintelligibles dans un processus qui ne peut pas être inversé sans accès à la clé de décryptage correcte . Le RGPD exige que les informations supplémentaires (telles que la clé de déchiffrement) soient conservées séparément des données pseudonymisées.

Un autre exemple de pseudonymisation est la tokenisation , qui est une approche non mathématique de la protection des données au repos qui remplace les données sensibles par des substituts non sensibles, appelés jetons. Bien que les jetons n'aient aucune signification ou valeur extrinsèque ou exploitable, ils permettent à des données spécifiques d'être entièrement ou partiellement visibles pour le traitement et l'analyse tandis que les informations sensibles sont cachées. La tokenisation ne modifie pas le type ou la longueur des données, ce qui signifie qu'elles peuvent être traitées par des systèmes existants tels que des bases de données qui peuvent être sensibles à la longueur et au type des données. Cela nécessite également beaucoup moins de ressources de calcul à traiter et moins d'espace de stockage dans les bases de données que les données cryptées de manière traditionnelle.

La pseudonymisation est une technologie de protection de la vie privée et est recommandée pour réduire les risques pour les personnes concernées et également pour aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données (considérant 28).

Registres des activités de traitement

Selon l' article 30 , les enregistrements des activités de traitement doivent être conservés par chaque organisation répondant à l'un des critères suivants :

  • employant plus de 250 personnes;
  • le traitement qu'il effectue est susceptible d'entraîner un risque pour les droits et libertés des personnes concernées ;
  • le traitement n'est pas occasionnel ;
  • le traitement comprend des catégories spéciales de données visées à l'article 9, paragraphe 1, ou des données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l'article 10.

Ces exigences peuvent être modifiées par chaque pays de l'UE. Les enregistrements sont sous forme électronique et le responsable du traitement ou le sous-traitant et, le cas échéant, le responsable du traitement ou le représentant du sous-traitant, mettent l'enregistrement à la disposition de l'autorité de contrôle sur demande.

Les enregistrements du contrôleur doivent contenir toutes les informations suivantes :

  • le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable du traitement conjoint, du représentant du responsable du traitement et du délégué à la protection des données ;
  • les finalités du traitement ;
  • une description des catégories de personnes concernées et des catégories de données personnelles ;
  • les catégories de destinataires auxquels les données personnelles ont été ou seront divulguées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, la documentation garanties;
  • dans la mesure du possible, les délais envisagés pour l'effacement des différentes catégories de données
  • si possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

Les dossiers du sous-traitant doivent contenir toutes les informations suivantes :

  • le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit, et, le cas échéant, du responsable du traitement ou de son représentant, et du délégué à la protection des données ;
  • les catégories de traitements effectués pour le compte de chaque responsable de traitement ;
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, le
  • la documentation des garanties appropriées ;
  • si possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

Sécurité des données personnelles

Les responsables du traitement et les sous-traitants des données personnelles doivent mettre en place des mesures techniques et organisationnelles appropriées pour mettre en œuvre les principes de protection des données. Les processus commerciaux qui traitent les données personnelles doivent être conçus et construits en tenant compte des principes et fournir des garanties pour protéger les données (par exemple, en utilisant la pseudonymisation ou l' anonymisation complète, le cas échéant). Les contrôleurs de données doivent concevoir des systèmes d'information dans un souci de confidentialité. Par exemple, en utilisant les paramètres de confidentialité les plus élevés possibles par défaut, afin que les ensembles de données ne soient pas accessibles au public par défaut et ne puissent pas être utilisés pour identifier un sujet. Aucune donnée personnelle ne peut être traitée à moins que ce traitement ne soit effectué sous l'une des six bases légales précisées par le règlement ( consentement , contrat, mission publique, intérêt vital, intérêt légitime ou obligation légale). Lorsque le traitement est fondé sur le consentement, la personne concernée a le droit de le révoquer à tout moment.

L'article 33 stipule que le responsable du traitement a l'obligation légale d'informer l'autorité de contrôle sans retard injustifié, à moins que la violation ne soit peu susceptible d'entraîner un risque pour les droits et libertés des personnes. Il y a un maximum de 72 heures après avoir pris connaissance de la violation de données pour faire le rapport. Les individus doivent être informés si un risque élevé d'impact négatif est déterminé ( article 34 ). En outre, le sous-traitant devra informer le responsable du traitement sans retard injustifié après avoir pris connaissance d'une violation de données à caractère personnel ( article 33 ). Toutefois, la notification aux personnes concernées n'est pas requise si le responsable du traitement a mis en place des mesures de protection techniques et organisationnelles appropriées rendant les données personnelles inintelligibles pour toute personne qui n'est pas autorisée à y accéder, telles que le cryptage ( article 34 ).

Délégué à la protection des données

Voir aussi : Délégué à la protection des données de la Commission européenne

L'article 37 exige la nomination d'un délégué à la protection des données. Si le traitement est effectué par une autorité publique (à l'exception des tribunaux ou des autorités judiciaires indépendantes lorsqu'elles agissent en leur qualité judiciaire), ou si les opérations de traitement impliquent un suivi régulier et systématique des personnes concernées à grande échelle, ou si le traitement à grande échelle catégories spéciales de données et de données personnelles relatives aux condamnations pénales et aux infractions ( articles 9 et article 10 ,) un délégué à la protection des données (DPO) - une personne ayant une connaissance approfondie de la législation et des pratiques en matière de protection des données - doit être désigné pour assister le responsable du traitement ou le sous-traitant dans le contrôle de leur conformité interne au règlement.

Un DPO désigné peut être un membre actuel du personnel d'un responsable du traitement ou d'un sous-traitant, ou le rôle peut être sous-traité à une personne ou à une agence externe par le biais d'un contrat de service. Dans tous les cas, l'organisme de traitement doit s'assurer qu'il n'y a pas de conflit d'intérêts dans d'autres rôles ou intérêts qu'un DPD peut détenir. Les coordonnées du DPD doivent être publiées par l'organisme de traitement (par exemple, dans une déclaration de confidentialité) et enregistrées auprès de l'autorité de contrôle.

Le DPO est similaire à un responsable de la conformité et doit également maîtriser les processus informatiques, la sécurité des données (y compris la gestion des cyberattaques ) et d'autres problèmes critiques de continuité des activités associés à la conservation et au traitement des données personnelles et sensibles. L'ensemble de compétences requises va au-delà de la compréhension de la conformité légale avec les lois et réglementations en matière de protection des données. Le DPD doit maintenir un inventaire des données vivantes de toutes les données collectées et stockées au nom de l'organisation. Plus de détails sur la fonction et le rôle du délégué à la protection des données ont été donnés le 13 décembre 2016 (révisé le 5 avril 2017) dans un document d'orientation.

Les organisations basées en dehors de l'UE doivent également désigner une personne basée dans l'UE en tant que représentant et point de contact pour leurs obligations GDPR ( article 27 ). Il s'agit d'un rôle distinct de celui d'un DPD, bien qu'il y ait un chevauchement des responsabilités qui suggèrent que ce rôle peut également être tenu par le DPD désigné.

Recours, responsabilité et pénalités

Voir aussi : amendes et avis du RGPD

Outre les définitions en tant qu'infraction pénale selon le droit national conformément à l' article 83 du RGPD, les sanctions suivantes peuvent être imposées :

  • un avertissement écrit en cas de première non-conformité non intentionnelle
  • audits périodiques réguliers de la protection des données
  • une amende pouvant aller jusqu'à 10 millions d'euros ou jusqu'à 2 % du chiffre d'affaires mondial annuel de l'exercice précédent dans le cas d'une entreprise, selon le plus élevé des deux, s'il y a eu infraction aux dispositions suivantes : ( article 83 , paragraphe 4)
    • les obligations du responsable du traitement et du sous-traitant conformément aux articles 8 , 11 , 25 à 39 , et 42 et 43
    • les obligations de l'organisme de certification conformément aux articles 42 et 43
    • les obligations de l'organe de contrôle en vertu de l' article 41, paragraphe 4
  • une amende allant jusqu'à 20 millions d'euros ou jusqu'à 4 % du chiffre d'affaires mondial annuel de l'exercice précédent dans le cas d'une entreprise, selon le plus élevé des deux, s'il y a eu infraction aux dispositions suivantes : ( article 83 , paragraphe 5 & 6)
    • les principes de base du traitement, y compris les conditions de consentement, conformément aux articles 5 , 6 , 7 et 9
    • les droits des personnes concernées conformément aux articles 12 à 22
    • les transferts de données à caractère personnel à un destinataire dans un pays tiers ou à une organisation internationale en application des articles 44 à 49
    • toute obligation en vertu de la législation des États membres adoptée en vertu du chapitre IX
    • non-respect d'une injonction ou limitation temporaire ou définitive du traitement ou suspension des flux de données par l'autorité de contrôle en vertu de l' article 58, paragraphe 2, ou défaut d'accès en violation de l' article 58, paragraphe 1

Dérogations

Il s'agit de certains cas qui ne sont pas spécifiquement traités dans le RGPD et qui sont donc traités comme des exceptions.

  • Activités personnelles ou domestiques
  • Forces de l'ordre
  • la sécurité nationale

Lorsque le RGPD a été créé, il a été strictement créé pour la réglementation des données personnelles qui entrent dans les mains des entreprises. Ce qui n'est pas couvert par le RGPD, ce sont les informations non commerciales ou les activités domestiques. Un exemple de ces activités domestiques peut être les courriels entre deux amis du secondaire.

A l'inverse, une entité ou plus précisément une « entreprise » doit être engagée dans une « activité économique » pour être couverte par le RGPD. L'activité économique est définie au sens large dans le droit de la concurrence de l'Union européenne .

Applicabilité hors Union Européenne

Le RGPD s'applique également aux contrôleurs de données et aux sous-traitants en dehors de l'Espace économique européen (EEE) s'ils sont engagés dans "l'offre de biens ou de services" (qu'un paiement soit ou non requis) aux personnes concernées au sein de l'EEE, ou surveillent le comportement des personnes concernées au sein de l'EEE (article 3, paragraphe 2). Le règlement s'applique quel que soit le lieu du traitement. Cela a été interprété comme conférant intentionnellement une compétence extraterritoriale au RGPD aux établissements non membres de l'UE s'ils font des affaires avec des personnes situées dans l'UE.

Représentant de l'UE

En vertu de l'article 27, les établissements hors UE soumis au RGPD sont tenus d'avoir un mandataire au sein de l'Union européenne, un « représentant de l'UE », pour servir de point de contact pour leurs obligations en vertu du règlement. Le représentant de l'UE est la personne de contact du responsable du traitement ou du sous-traitant vis-à-vis des contrôleurs européens de la vie privée et des personnes concernées, pour toutes les questions relatives au traitement, afin de garantir la conformité avec le présent RGPD. Une personne physique (individu) ou morale (société) peut jouer le rôle de représentant de l'UE. L'établissement hors UE doit délivrer un document dûment signé (lettre d'accréditation) désignant une personne ou une entreprise donnée comme son représentant UE. Ladite désignation ne peut être donnée que par écrit.

Le défaut d'un établissement de désigner un représentant de l'UE est considéré comme une méconnaissance de la réglementation et des obligations y afférentes, ce qui constitue en soi une violation du RGPD passible d'amendes pouvant aller jusqu'à 10 millions d'euros ou jusqu'à 2 % du chiffre d'affaires mondial annuel de l'exercice précédent. dans le cas d'une entreprise, le plus élevé des deux. Le caractère intentionnel ou négligent (aveuglement volontaire) de l'infraction (absence de désignation d'un représentant de l'UE) peut plutôt constituer des circonstances aggravantes.

Un établissement n'a pas besoin de nommer un représentant de l'UE s'il n'effectue qu'un traitement occasionnel qui n'inclut pas, à grande échelle, le traitement de catégories particulières de données visées à l'article 9, paragraphe 1, du RGPD ou le traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l'article 10, et qu'un tel traitement n'est pas susceptible d'entraîner un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement. Les autorités et organismes publics non communautaires sont également exemptés.

Pays tiers

Le chapitre V du RGPD interdit le transfert des données personnelles des personnes concernées de l'UE vers des pays en dehors de l'EEE - appelés pays tiers - à moins que des garanties appropriées ne soient imposées ou que les réglementations en matière de protection des données du pays tiers soient formellement considérées comme adéquates par la Commission européenne ( article 45). Des règles d'entreprise contraignantes , des clauses contractuelles types pour la protection des données émises par un APD, ou un schéma d'engagements contraignants et exécutoires par le responsable du traitement ou le sous-traitant situé dans un pays tiers, en sont des exemples.

Mise en œuvre au Royaume-Uni

L'applicabilité du RGPD au Royaume-Uni est affectée par le Brexit . Bien que le Royaume-Uni se soit officiellement retiré de l'Union européenne le 31 janvier 2020, il est resté soumis au droit de l'UE, y compris le RGPD, jusqu'à la fin de la période de transition le 31 décembre 2020. Le Royaume-Uni a accordé la sanction royale au Data Protection Act 2018 le 23 mai 2018, qui a augmenté le RGPD, y compris les aspects de la réglementation qui doivent être déterminés par le droit national, et les infractions pénales pour avoir sciemment ou imprudemment obtenu, redistribuer ou conserver des données personnelles sans le consentement du responsable du traitement.

En vertu de la loi de 2018 sur l'Union européenne (retrait) , le droit de l'UE existant et pertinent a été transposé dans le droit local à la fin de la transition, et le RGPD a été modifié par un texte réglementaire pour supprimer certaines dispositions devenues inutiles en raison de la non-adhésion du Royaume-Uni au UE. Par la suite, le règlement sera dénommé « UK GDPR ». Le Royaume-Uni ne limitera pas le transfert de données personnelles vers les pays de l'EEE en vertu du RGPD britannique. Cependant, le Royaume-Uni deviendra un pays tiers en vertu du RGPD de l'UE, ce qui signifie que les données personnelles ne peuvent pas être transférées dans le pays à moins que des garanties appropriées ne soient imposées, ou que la Commission européenne prenne une décision d'adéquation sur l'adéquation de la législation britannique sur la protection des données (chapitre V ). Dans le cadre de l' accord de retrait , la Commission européenne s'est engagée à procéder à une évaluation d'adéquation.

En avril 2019, le Bureau du Commissaire à l'information (ICO) du Royaume-Uni a publié une proposition de code de pratique pour les services de réseaux sociaux lorsqu'ils sont utilisés par des mineurs, applicable en vertu du RGPD, qui comprend également des restrictions sur les mécanismes « j'aime » et « strie » afin de décourager les médias sociaux. dépendance et sur l'utilisation de ces données pour le traitement des intérêts.

En mars 2021, le secrétaire d'État au numérique, à la culture, aux médias et aux sports, Oliver Dowden, a déclaré que le Royaume-Uni explorait une divergence par rapport au RGPD de l'UE afin de « [se concentrer] davantage sur les résultats que nous voulons obtenir et moins sur les charges de les règles imposées aux entreprises individuelles ».

Accueil

Selon une étude menée par Deloitte en 2018, 92% des entreprises pensent être en mesure de se conformer au RGPD dans leurs pratiques commerciales à long terme.

Les entreprises opérant en dehors de l'UE ont investi massivement pour aligner leurs pratiques commerciales sur le RGPD. Le domaine du consentement GDPR a un certain nombre d'implications pour les entreprises qui enregistrent les appels dans la pratique. Une clause de non-responsabilité typique n'est pas considérée comme suffisante pour obtenir un consentement présumé à l'enregistrement des appels. De plus, lorsque l'enregistrement a commencé, si l'appelant retire son consentement, l'agent recevant l'appel doit être en mesure d'arrêter un enregistrement déjà commencé et de s'assurer que l'enregistrement ne soit pas stocké.

Les professionnels de l'informatique s'attendent à ce que la conformité au RGPD nécessite des investissements supplémentaires dans l'ensemble : plus de 80 % des personnes interrogées prévoient que les dépenses liées au RGPD seront d'au moins 100 000 USD. Les inquiétudes ont été reprises dans un rapport commandé par le cabinet d'avocats Baker & McKenzie qui a révélé qu'« environ 70 % des personnes interrogées pensent que les organisations devront investir un budget/des efforts supplémentaires pour se conformer aux exigences de consentement, de cartographie des données et de transfert de données transfrontalier. dans le cadre du RGPD." Le coût total pour les entreprises de l'UE est estimé à environ 200 milliards d'euros, tandis que pour les entreprises américaines, l'estimation est de 41,7 milliards de dollars. Il a été avancé que les petites entreprises et les startups pourraient ne pas avoir les ressources financières nécessaires pour se conformer de manière adéquate au RGPD, contrairement aux grandes entreprises technologiques internationales (telles que Facebook et Google ) que la réglementation est censée cibler en premier lieu. Un manque de connaissance et de compréhension de la réglementation a également été une préoccupation dans la période précédant son adoption. Un contre-argument à cela a été que les entreprises ont été informées de ces changements deux ans avant leur entrée en vigueur et, par conséquent, auraient dû avoir suffisamment de temps pour se préparer.

Les réglementations, y compris si une entreprise doit avoir un délégué à la protection des données, ont été critiquées pour une charge administrative potentielle et des exigences de conformité peu claires. Bien que la minimisation des données soit une exigence, la pseudonymisation étant l'un des moyens possibles, le règlement ne fournit aucune indication sur la manière ou ce qui constitue un système efficace d'anonymisation des données, avec une zone grise sur ce qui serait considéré comme une pseudonymisation inadéquate sous réserve de l'article 5 mesures d'exécution. Il existe également des inquiétudes concernant la mise en œuvre du RGPD dans les systèmes de blockchain , car l'enregistrement transparent et fixe des transactions de blockchain contredit la nature même du RGPD. De nombreux médias ont commenté l'introduction d'un « droit à l'explication » des décisions algorithmiques, mais les juristes ont depuis fait valoir que l'existence d'un tel droit est très peu claire sans tests judiciaires et est au mieux limitée.

Le RGPD a recueilli le soutien des entreprises qui le considèrent comme une opportunité d'améliorer la gestion de leurs données. Mark Zuckerberg l' a également qualifié de "très positif pour Internet" et a appelé à l'adoption de lois de type RGPD aux États-Unis. Les groupes de défense des droits des consommateurs tels que l'Organisation européenne des consommateurs sont parmi les partisans les plus virulents de la législation. D'autres supporters ont attribué son passage au lanceur d'alerte Edward Snowden . Le défenseur du logiciel libre, Richard Stallman, a fait l'éloge de certains aspects du RGPD, mais a appelé à des garanties supplémentaires pour empêcher les entreprises technologiques de « fabriquer un consentement ».

Impacter

Les experts universitaires qui ont participé à la formulation du RGPD ont écrit que la loi « est l'évolution réglementaire la plus importante en matière de politique d'information depuis une génération. Le RGPD intègre les données personnelles dans un régime réglementaire complexe et protecteur. Cela dit, les idées contenues dans le Le RGPD n'est pas entièrement européen, ni nouveau.Les protections du RGPD peuvent être trouvées - bien que sous des formes plus faibles et moins normatives - dans les lois américaines sur la protection de la vie privée et dans les règlements de la Federal Trade Commission avec les entreprises.

Bien qu'elles aient eu au moins deux ans pour se préparer et le faire, de nombreuses entreprises et sites Web ont modifié leurs politiques et fonctionnalités de confidentialité dans le monde entier directement avant la mise en œuvre du RGPD, et ont généralement fourni des notifications par e-mail et autres concernant ces changements. Cela a été critiqué pour avoir entraîné un nombre fatigant de communications, tandis que les experts ont noté que certains e-mails de rappel affirmaient à tort qu'un nouveau consentement pour le traitement des données devait être obtenu pour l'entrée en vigueur du RGPD (tout consentement au traitement précédemment obtenu est valable tant que il répondait aux exigences du règlement). Des escroqueries par hameçonnage sont également apparues à l'aide de versions falsifiées d'e-mails liés au RGPD, et il a également été avancé que certains e-mails de notification RGPD pouvaient en fait avoir été envoyés en violation des lois anti-spam. En mars 2019, un fournisseur de logiciels de conformité a découvert que de nombreux sites Web exploités par les gouvernements des États membres de l'UE contenaient un suivi intégré des fournisseurs de technologie publicitaire.

Le déluge d'avis liés au RGPD a également inspiré des mèmes , y compris ceux entourant les avis de politique de confidentialité délivrés par des moyens atypiques (comme une planche Ouija ou le crawl d'ouverture de Star Wars ), suggérant que la liste "vilain ou gentil" du Père Noël était une violation. , et un enregistrement d'extraits du règlement par un ancien annonceur de BBC Radio 4 Shipping Forecast . Un blog, GDPR Hall of Shame , a également été créé pour présenter la livraison inhabituelle d'avis GDPR et les tentatives de conformité qui contenaient des violations flagrantes des exigences de la réglementation. Son auteur a fait remarquer que le règlement "contient beaucoup de détails pratiques et précis, mais pas beaucoup d'informations sur la façon de s'y conformer", mais a également reconnu que les entreprises avaient deux ans pour s'y conformer, rendant certaines de ses réponses injustifiées. .

Les recherches indiquent qu'environ 25 % des vulnérabilités logicielles ont des implications pour le RGPD. Étant donné que l'article 33 met l'accent sur les violations et non sur les bogues, les experts en sécurité conseillent aux entreprises d'investir dans des processus et des capacités pour identifier les vulnérabilités avant qu'elles ne puissent être exploitées, y compris des processus coordonnés de divulgation des vulnérabilités . Une enquête sur les politiques de confidentialité, les capacités d'accès aux données et le comportement d'accès aux données des applications Android a montré que de nombreuses applications affichent un comportement quelque peu plus respectueux de la confidentialité depuis la mise en œuvre du RGPD, bien qu'elles conservent toujours la plupart de leurs privilèges d'accès aux données dans leur code. Une enquête du Conseil des consommateurs de Norvège (appelé Forbrukerrådet en norvégien) sur les tableaux de bord des personnes concernées post-RGPD sur les plateformes de médias sociaux (telles que Google dashboard ) a conclu que les grandes entreprises de médias sociaux déploient des tactiques trompeuses afin de décourager leurs clients d'affûter leurs paramètres de confidentialité.

À la date d'entrée en vigueur, certains sites Web internationaux ont commencé à bloquer complètement les utilisateurs de l'UE (y compris les journaux appartenant à Instapaper , Unroll.me et Tribune Publishing , tels que le Chicago Tribune et le Los Angeles Times ) ou à les rediriger vers des versions simplifiées de leur services (dans le cas de National Public Radio et USA Today ) avec des fonctionnalités limitées et/ou aucune publicité afin qu'ils ne soient pas responsables. Certaines entreprises, telles que Klout et plusieurs jeux vidéo en ligne, ont complètement cessé leurs activités pour coïncider avec sa mise en œuvre, citant le RGPD comme un fardeau pour la poursuite de leurs opérations, notamment en raison du modèle commercial de la première. Le volume des placements de publicité comportementale en ligne en Europe a chuté de 25 à 40 % le 25 mai 2018.

En 2020, deux ans après le début de la mise en œuvre du RGPD, la Commission européenne a évalué que les utilisateurs de l'UE avaient amélioré leurs connaissances sur leurs droits, déclarant que « 69 % de la population de plus de 16 ans dans l'UE a entendu parler du RGPD. et 71% des personnes ont entendu parler de leur autorité nationale de protection des données." La commission a également constaté que la confidentialité est devenue une qualité concurrentielle pour les entreprises que les consommateurs prennent en compte dans leurs processus décisionnels.

Application et incohérence

Article détaillé : amendes et avis du RGPD

Facebook et ses filiales WhatsApp et Instagram , ainsi que Google LLC (ciblant Android ), ont été immédiatement poursuivis en justice par l' association à but non lucratif NOYB de Max Schrems quelques heures seulement après minuit le 25 mai 2018, pour leur utilisation du "consentement forcé". Schrems affirme que les deux sociétés ont violé l'article 7, paragraphe 4, en ne présentant pas d'opt-ins pour le consentement au traitement des données sur une base individuelle et en exigeant des utilisateurs qu'ils consentent à toutes les activités de traitement des données (y compris celles qui ne sont pas strictement nécessaires) ou qu'il leur serait interdit d'utiliser le prestations de service. Le 21 janvier 2019, Google a été condamné à une amende de 50 millions d'euros par la DPA française pour avoir fait preuve d'un contrôle, d'un consentement et d'une transparence insuffisants sur l'utilisation des données personnelles à des fins de publicité comportementale. En novembre 2018, à la suite d'une enquête journalistique sur Liviu Dragnea , la DPA roumaine (ANSPDCP) a utilisé une demande GDPR pour exiger des informations sur les sources du projet RISE .

En juillet 2019, le British Information Commissioner's Office a émis l'intention d'infliger à British Airways une amende record de 183 millions de livres sterling (1,5% du chiffre d'affaires) pour de mauvaises dispositions en matière de sécurité qui ont permis une attaque d' écrémage Web en 2018 affectant environ 380 000 transactions. British Airways a finalement été condamnée à une amende d'un montant réduit de 20 millions de livres sterling, l'ICO notant qu'elle avait "considéré à la fois les représentations de BA et l'impact économique de COVID-19 sur leurs activités avant de fixer une pénalité finale".

En décembre 2019, Politico a signalé que l'Irlande et le Luxembourg – deux petits pays de l'UE qui avaient la réputation de paradis fiscaux et (en particulier dans le cas de l'Irlande) de base pour les filiales européennes de grandes entreprises technologiques américaines – faisaient face à d'importants retards dans leurs enquêtes sur les grandes entreprises étrangères en vertu du RGPD, l'Irlande citant la complexité de la réglementation comme facteur. Les critiques interrogés par Politico ont également fait valoir que l'exécution était également entravée par des interprétations différentes entre les États membres, la priorisation des orientations par rapport à l'exécution par certaines autorités et un manque de coopération entre les États membres.

Alors que les entreprises sont désormais soumises à des obligations légales, il existe encore diverses incohérences dans la mise en œuvre pratique et technique du RGPD. À titre d'exemple, selon le droit d'accès du RGPD, les entreprises sont tenues de fournir aux personnes concernées les données qu'elles collectent à leur sujet. Cependant, dans une étude sur les cartes de fidélité en Allemagne, les entreprises n'ont pas fourni aux personnes concernées les informations exactes sur les articles achetés. On pourrait soutenir que ces entreprises ne collectent pas les informations sur les articles achetés, ce qui n'est pas conforme à leurs modèles commerciaux. Par conséquent, les personnes concernées ont tendance à considérer cela comme une violation du RGPD. En conséquence, des études ont suggéré un meilleur contrôle par les autorités.

Selon le RGPD, le consentement des utilisateurs finaux doit être valide, donné librement, spécifique, éclairé et actif. Cependant, le manque de force exécutoire concernant l'obtention de consentements légaux a été un défi. À titre d'exemple, une étude de 2020 a montré que les Big Tech , c'est-à-dire Google , Amazon , Facebook , Apple et Microsoft (GAFAM), utilisent des schémas sombres dans leurs mécanismes d'obtention de consentement, ce qui soulève des doutes quant à la légalité du consentement acquis.

En mars 2021, des États membres de l'UE dirigés par la France auraient tenté de modifier l'impact de la réglementation sur la confidentialité en Europe en exemptant les agences de sécurité nationales.

Influence sur les lois internationales

L'adoption massive de ces nouvelles normes de confidentialité par les entreprises internationales a été citée comme un exemple de « l' effet Bruxelles », un phénomène dans lequel les lois et réglementations européennes sont utilisées comme référence en raison de leur gravité.

L'État américain de Californie a adopté la California Consumer Privacy Act le 28 juin 2018, prenant effet le 1er janvier 2020 ; il accorde des droits à la transparence et au contrôle de la collecte d'informations personnelles par les entreprises de la même manière que le RGPD. Les critiques ont fait valoir que de telles lois doivent être mises en œuvre au niveau fédéral pour être efficaces, car un ensemble de lois au niveau des États aurait des normes variables qui compliqueraient la conformité. Deux autres États américains ont depuis promulgué une législation similaire : la Virginie a adopté le Consumer Data Privacy Act le 2 mars 2021 et le Colorado a promulgué le Colorado Privacy Act le 8 juillet 2021.

La République de Turquie , candidate à l' adhésion à l' Union européenne , a adopté la loi sur la protection des données personnelles le 24 mars 2016 conformément à l' acquis de l' UE .

Chronologie

  • 25 janvier 2012 : La proposition de RGPD est publiée.
  • 21 octobre 2013 : La commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen a tenu son vote d'orientation.
  • 15 décembre 2015 : Les négociations entre le Parlement européen , le Conseil et la Commission ( réunion formelle du trilogue ) ont abouti à une proposition conjointe.
  • 17 décembre 2015 : La commission LIBE du Parlement européen vote en faveur des négociations entre les trois parties.
  • 8 avril 2016 : Adoption par le Conseil de l'Union européenne. Le seul État membre à voter contre était l'Autriche, qui a fait valoir que le niveau de protection des données était à certains égards insuffisant par rapport à la directive de 1995.
  • 14 avril 2016 : Adoption par le Parlement européen.
  • 24 mai 2016 : Le règlement est entré en vigueur, 20 jours après sa publication au Journal officiel de l'Union européenne .
  • 25 mai 2018 : Ses dispositions sont devenues directement applicables dans tous les États membres, deux ans après l'entrée en vigueur de la réglementation.
  • 20 juillet 2018 : le RGPD est entré en vigueur dans les pays de l' EEE ( Islande , Liechtenstein et Norvège ), après que le Comité mixte de l' EEE et les trois pays ont convenu de suivre le règlement.

Marché unique numérique de l'UE

La stratégie pour un marché unique numérique de l' UE concerne les activités de « l'économie numérique » liées aux entreprises et aux personnes dans l'UE. Dans le cadre de la stratégie, le RGPD et la directive NIS s'appliquent tous à partir du 25 mai 2018. Le règlement ePrivacy proposé devait également être applicable à partir du 25 mai 2018, mais sera retardé de plusieurs mois. Le règlement eIDAS fait également partie de la stratégie.

Dans une première évaluation, le Conseil européen a déclaré que le RGPD devait être considéré comme "un préalable au développement des futures initiatives de politique numérique".

Voir également

Remarques

Citations

Liens externes