Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD)

Le 15 juin 2018 le Conseil constitutionnel a validé la quasi-totalité des dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil Européen du 27 avril 2016 (RGPD) modifiant la loi Informatiques et Libertés, mettant ainsi la législation nationale en conformité avec le RGPD entré en vigueur le 25 mai 2018.

Le règlement européen n° 2016/679 est applicable au traitement de données à caractère personnel même si le responsable du traitement n’est pas établi dans l’Union Européenne mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public. Il concerne donc :

  • Le traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union Européenne ;
  • Le traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union Européenne par un responsable du traitement ou un sous-traitant même s’il n’est pas établi dans un pays membre de l’Union Européenne, lorsque les activités de traitement sont liées :
    • A l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ;
    • Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union Européenne

Le RGPD s’applique à toute la chaine de sous-traitance d’un organisme traitement de données personnelles des personnes physiques, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données personnelles contenues ou appelées à figurer dans un fichier.

Nouvelles obligations à respecter :

  • Restriction du profilage automatisé servant de base à une décision (article 21)
  • Mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (article 32)
  •  Obligation de création et de maintenance d’un registre des activités de traitement (article 30)
  • Mise en place d’un système de notification des violations de données personnelles: « Data Breach Notification » (article 33 et 34)
  • Réalisation d’éventuelles analyses d’impact lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (article 35)
  • Obligation de nommer un délégué à la protection des données (DPD ou, en anglais, DPO : Data Protection Officer) (article 37)
  • Mise en place d’une traçabilité renforcée des données (article 39)
  • L’adhésion à des codes de conduite (article 37)
  • Consentement clair et explicite à la collecte des données (article 32)
  • Accès facilité de la personne à ses données (article 15, 16, 17 et 18)
  • Droit à la portabilité des données (article 20)
  • Droit d’opposition (article 21)
  • Le transfert des données est soumis à vérification et peut être demandé par la personne elle-même (article 45 et 49)

Malgré l’entrée en vigueur du RGPD le 25 mai 2018, un grand nombre de professionnels et d’entreprises ne sont pas encore mis en conformité. La mise en conformité du traitement des données à caractère personnel aux dispositions du Règlement Européen 2016/679 est obligatoire.