droit.co : données personnelles

FB Juris Avocats

Traitement de données personnelles :

principaux changements introduits par le RGPD

Avant l'entrée en vigueur du RGPD

25 mai 2018

Dès l'entrée en vigueur du RGPD

Avant - Texte

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (modifiée)

Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

Le cadre juridique harmonisé par une directive est remplacé par un règlement européen directement applicable dans les 28 États membres de l'Union européenne.

Désormais - Texte

Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Avant - Déclaration préalable à la CNIL

En principe, tout traitement de données personnelles devait être déclaré à la CNIL, même un traitement de données non susceptible de porter atteinte à la vie privée ou aux libertés.

Il existait i) des déclarations simplifiées pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en œuvre n'était pas susceptible de porter atteinte à la vie privée ou aux libertés (ex : norme simplifiée n° 48 pour les données des clients, prospects et contacts) et ii) des cas de dispense.

Pour les traitements de données non susceptibles de porter atteinte à la vie privée ou aux libertés, la déclaration préalable à la CNIL est supprimée. En contrepartie, l'obligation de tenir un registre interne est instituée.

Désormais - Tenue d'un registre des activités de traitement

Le responsable d'un traitement de données personnelles doit tenir un registre des activités de traitement (article 30 du RGPD).

Une dérogation est prévue pour les organisations comptant moins de 250 employés, sous des conditions qui devraient la rendre anecdotique en pratique : notamment, un traitement de données occasionnel ne peut pas en bénéficier.

Avant - Autorisation préalable de la CNIL

Les traitements de données personnelles susceptibles de porter atteinte à la vie privée ou aux libertés nécessitaient une autorisation préalable de la CNIL (article 25 de la loi n° 78-17).

Pour les traitements de données susceptibles d'engendrer un risque élevé pour les droits et libertés, le responsable du traitement doit effectuer une analyse d'impact. Si cette analyse indique un risque élevé, le responsable doit consulter la CNIL avant de mettre en œuvre le traitement de données.

Désormais - Analyse d'impact relative à la protection des données

Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit effectuer, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel (article 35 du RGPD).

+

Le cas échéant, consultation préalable de la CNIL

Le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque (article 36 du RGPD).

Avant - Correspondant informatique et libertés (CIL)

La désignation d'un CIL était facultative.

Le CIL, facultatif, disparaît au profit d'un DPO, souvent obligatoire et doté d'un véritable statut ainsi que de prérogatives importantes.

Désormais - Délégué à la protection des données ("data protection officer - DPO")

Le RGPD institue un délégué à la protection des données, dont la nomination est obligatoire dans certains cas.

 

© FB Juris - tous droits réservés          Conditions d'utilisation          Mentions légales          Traceurs