Observatoire du RGPD

Observatoire du RGPD

En mai 2018, entrera en application le Règlement général sur la protection des données personnelles (RGPD) abrogeant la directive 95/46/CE. Le compte à rebours s’accélère pour les entreprises…

Règlement général sur la protection des données

Le règlement sur la protection des données (RGPD), adopté le 27 avril 2016 et publié au Journal officiel de l’Union européenne le 4 mai 2016, a vocation à moderniser le cadre européen de la protection des données à caractère personnel afin de prendre en compte les avancées technologiques, notamment numériques et génétiques, et de réduire les écarts juridiques entre les différentes législations des Etats membres de l’Union européenne. Il remplace la directive de 1995 sur la protection des données, abrogée.

Les entreprises ont jusqu’au 25 mai 2018 pour repenser la gouvernance qu’elles ont mis en place en matière de protection des données personnelles et déployer de nouvelles actions pour être en conformité dans les délais impartis.

Il s’agit d’un texte complexe et technique et dont les entreprises sont les principaux acteurs. Elles vont devoir se plier à de nouvelles obligations, par exemple :

observatoire du RGPD

  • réaliser une analyse d’impact avant la mise en œuvre d’un traitement de données pouvant présenter des risques pour les droits et libertés des personnes ;
  • prendre en compte la sécurité dès la conception du traitement de données ;
  • être, à tout moment, en mesure de démontrer la conformité du traitement avec le Règlement

La quasi-totalité des entreprises traite des données personnelles de citoyens européens et est donc concernée par le Règlement.

Textes de référence

Proposition de règlement sur la protection des données à caractère personnel dans les communications électroniques (e-privacy)

La Commission européenne propose actuellement un nouveau règlement en date du 10 janvier 2017 visant à renforcer le respect de la vie privée dans les communications électroniques et à harmoniser les règles applicables avec les nouvelles normes fixées par le règlement général sur la protection des données. Ce projet de règlement vise également à abroger la directive 2002/58/CE (règlement «vie privée et communications électroniques») qui ne s’appliquait qu’aux opérateurs de télécommunications traditionnels.

Avec le règlement en préparation, les règles en matière de respect de la vie privée s’appliqueront également aux nouveaux acteurs dans le secteur des services de communications électroniques, tels que WhatsApp, Facebook Messenger, Skype, Gmail, iMessage ou Viber.

Textes de référence

Proposition de règlement sur la protection des données à caractère personnel par les institutions de l’UE

Le 10 janvier 2017, la Commission européenne a adopté une proposition qui abroge le règlement (CE) nº 45/2001 relatif à la protection des données à caractère personnel par les institutions et organes communautaires et le met en conformité avec le règlement général sur la protection des données. Cette proposition est actuellement débattue au sein du Parlement européen et du Conseil de l’Union européenne.

Comité européen de la protection des données (CEPD)

Observatoire du RGPD (CEPD)

Le CEPD remplace le groupe de protection des personnes à l’égard du traitement des données à caractère personnel « G29 » créé par l’article 29 de la directive 95/46/CE abrogée par le RGPD.

Parmi les nouvelles missions qui lui incombe, figurent notamment celles de publier des lignes directrices, des recommandations et des bonnes pratiques sur diverses questions portant sur l’application des exigences de protection des données dans différents secteurs.

Lignes directrices et FAQ du G29

Le groupe de l’article 29 (G29) qui deviendra à compter du 25 mai 2018, le Comité européen de la protection des données (CEPD) a adopté des lignes directrices et des FAQ relatifs aux études d’impact, au droit à la portabilité, au délégué à la protection des données personnelles et à l’autorité chef de file.

Lignes directrices sur la notification de violation de données personnelles en vertu du règlement 2016/679 (WP 250) du 3 octobre 2017 :

Lignes directrices sur la prise de décision individuelle et le profilage automatisés aux fins du règlement 2016/679 (WP 251) du 3 octobre 2017 :

Lignes directrices sur les études d’impact vie privée (WP 248) du 4 avril 2017  révisées le 4 octobre 2017 :

Lignes directrices et FAQ sur le droit à la portabilité des données (WP 242 rev.01) du 13 décembre 2016 révisées le 5 avril 2017 :

Lignes directrices et FAQ du délégué à la protection des données (WP 243 rev.01) :

Lignes directrices et FAQ pour l’identification de l’autorité chef de file (WP 244 rev.01) du 13 décembre 2016 révisées le 5 avril 2017 :

Lignes directrices du Contrôleur européen de la protection des données (CEPD)

Le Contrôleur européen de la protection des données (CEPD) est l’autorité indépendante chargée de la protection des données à caractère personnel et de la vie privée lors du traitement d’informations personnelles par les institutions et organes de l’Union européenne. Il a élaboré des lignes directrices sur différents sujets.

Lignes directrices sur le traitement des renseignements personnels dans les enquêtes administratives et les procédures disciplinaires adoptées le 18 novembre 2016 :

Lignes directrices sur la protection des données personnelles traitées par les applications mobiles fournies par les institutions de l’Union européenne adoptées le 7 novembre 2016 :

Lignes directrices sur la protection des données personnelles traitées par les services Web fournis par les institutions de l’UE adoptées le 7 novembre 2016 :

Lignes directrices relatives au traitement d’informations à caractère personnel dans le cadre d’une procédure d’alerte éthique adoptées le 16 juillet 2016 :

Informations complémentaires en matière de sécurité des données à caractère personnel :

Guide sur les mesures de sécurité relatives au traitement des données à caractère personnel – Article 22 du règlement 45/2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission :

Lignes directrices du Conseil de l’Europe

Le Conseil de l’Europe est la principale organisation de défense des droits de l’homme du continent européen. Il comprend 47 États membres, dont les 28 membres de l’Union européenne. Sa mission est de promouvoir la démocratie et de protéger les droits de l’homme et l’Etat de droit en Europe. Il a élaboré des lignes directrices sur différents sujets.

Lignes directrices sur la protection des personnes à l’égard du traitement des données à caractère personnel à l’ère des mégadonnées (T-PD(2017)01) du 23 janvier 2017.

Lignes directrices de DPA européennes

Les DPA (Data Protection Authority) sont les autorités nationales chargées de la protection des données personnelles pour chaque pays, telles que la Cnil pour la France ou le CEPD pour l’Union européenne.

Il s’agit d’un code regroupant un ensemble de recommandations de bonne conduite concernant le partage de données personnelles, élaboré par l’ICO, le DPA britannique, en application de la loi nationale sur la protection des données. La pertinence de ce code sur ce point en fait un document de référence qui peut être aisément transposé en application du RGPD/GDPR. Il fournit des conseils pratiques à toutes les organisations, qu’il s’agisse de secteur public ou privé, qui partagent, ponctuellement ou régulièrement, des données personnelles afin de les aider à collecter et à partager des données personnelles d’une manière juste, transparente et conforme aux droits et aux attentes des personnes concernées.