droit.co : données personnelles

FB Juris Avocats

Le RGPD en synthèse : une réforme du cadre juridique applicable aux données personnelles.

 

 

1 - Ce qui change avec le RGPD

 

 

1.1 - De nouveaux droits pour les personnes dont les données sont traitées

 

- Le consentement est revalorisé (article 7 du RGPD).

 

- Les données des enfants bénéficient de dispositions particulières (article 8 du RGPD).

 

- Le droit à la portabilité des données est institué (article 20 du RGPD).

 

- Le droit à l'oubli est consolidé (article 17 du RGPD).

 

- Une personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage (article 22 du RGPD).

 

- La saisine des autorités de contrôle et des juridictions est clarifiée (articles 77 et 78 du RGPD).

 

- Des actions collectives peuvent être introduites (article 80 du RGPD).

 

- Le droit à la réparation du dommage matériel ou moral causé par la violation du règlement est affirmé (article 82 du RGPD).

 

 

1.2 - De nouvelles obligations pour les responsables des traitements de données personnelles

 

- Le règlement institue de nouveaux principes relatifs au traitement des données à caractère personnel, notamment la minimisation des données et la limitation de la conservation des données (article 5 du RGPD), la protection des données dès la conception et la protection des données par défaut (article 25 du RGPD).

 

- La responsabilité du responsable du traitement est renforcée : en particulier, il a l'obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées pour se conformer au règlement (articles 24 et 25 du RGPD).

 

- La responsabilité des intervenants est clarifiée : responsable du traitement, responsables conjoints du traitement, sous-traitants, personnes agissant sous leur autorité (articles 24 à 29 du RGPD).

 

- Le responsable du traitement doit pouvoir prouver le consentement des personnes concernées et il doit leur permettre de retirer leur consentement aussi simplement qu'elles l'ont donné (article 7 du RGPD).

 

- Le responsable du traitement est soumis à des obligations d'information renforcées (articles 12 à 14 du RGPD).

 

- La tenue d'un registre des activités de traitement est imposée (article 30 du RGPD).

 

- Le responsable du traitement doit notifier à l'autorité de contrôle une violation de données à caractère personnel, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques (article 33 du RGPD).

 

- Le responsable du traitement doit effectuer une analyse d'impact relative à la protection des données, lorsqu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques (article 35 du RGPD).

 

- Le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35 du RGPD indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque (article 36 du RGPD).

 

- Les obligations déclaratives du responsable du traitement sont allégées : il n'est plus nécessaire d'effectuer une déclaration à la CNIL, si le traitement n'est pas susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

 

- Un délégué à la protection des données doit obligatoirement être désigné dans certaines cas (articles 37 à 39 du RGPD).

 

- Les transferts de données en dehors de l'Union européenne sont mieux encadrés (articles 44 à 50 du RGPD).

 

 

2 - Ce qui ne change pas avec le RGPD

 

- Le RGPD s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier (article 2 du RGPD).

 

- Le RGPD ne s'applique pas au traitement de données personnelles effectuées par une personne physique dans le cadre d'une activité strictement personnelle ou domestique.

 

- Le RGPD ne s'applique pas au traitement de données à caractère personnel effectué par un État membre dans le cadre d'activités relevant de la politique étrangère et de sécurité commune (chapitre 2 du titre V du traité sur l'Union européenne).

 

- Le RGPD ne s'applique pas au traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. Ce traitement est régi par la directive 2016/680 du parlement européen et du conseil du 27 avril 2016.

 

© FB Juris - tous droits réservés          Conditions d'utilisation          Mentions légales          Traceurs