Nous recourons aux cookies (ou témoins de connexion) afin de vous offrir la meilleure expérience de navigation possible sur notre site web. Découvrez comment nous utilisons les cookies et comment vous pouvez modifier vos paramètres.

Le règlement général sur la protection des données

Infographie - règlement sur la protection des données

Le règlement sur la protection des données définit les droits des personnes physiques et fixe les obligations des personnes qui effectuent le traitement des données et de celles qui sont responsables de ce traitement.

L'élément central de l'ensemble des mesures proposées par la Commission est un règlement général sur la protection des données. Ce projet de règlement met à jour et modernise les principes énoncés dans la directive de 1995 sur la protection des données. Il définit les droits des personnes physiques et fixe les obligations des personnes qui effectuent le traitement des données et de celles qui sont responsables de ce traitement. Il définit également les méthodes visant à assurer le respect des dispositions prévues ainsi que l'étendue des sanctions imposées à ceux qui enfreignent les règles.

En décembre 2015, le Conseil et le Parlement européen sont parvenu à un accord sur le projet de règlement.

Le 8 avril 2016, le Conseil a adopté sa position en première lecture. Le projet de règlement a ensuite été adopté par le Parlement européen le 14 avril 2016.

Présentation détaillée

Le règlement aborde plusieurs aspects fondamentaux.

Droits de la personne concernée

Il énumère les droits de la personne concernée, c'est-à-dire de la personne dont les données à caractère personnel font l'objet d'un traitement. Ces droits renforcés permettent aux personnes d'exercer un plus grand contrôle sur les données à caractère personnel les concernant, notamment en prévoyant:

  • la nécessité d'obtenir de la personne qu'elle indique clairement qu'elle consent au traitement des données à caractère personnel
  • un accès plus facile de la personne concernée aux données à caractère personnel qui la concernent
  • les droits à la rectification, à l'effacement des données et à l'oubli
  • le droit de s'opposer notamment à l'utilisation des données à caractère personnel à des fins de profilage
  • le droit à la portabilité des données d'un prestataire de services à un autre

Il impose également aux responsables du traitement de fournir des informations transparentes et aisément accessibles aux personnes concernées au sujet du traitement des données qui les concernent.

Respect des dispositions

Le règlement précise les obligations générales des responsables du traitement et des personnes qui effectuent le traitement de données à caractère personnel pour leur compte (sous-traitants), notamment celles consistant à mettre en œuvre les mesures de sécurité appropriées, en fonction des risques que comportent les opérations de traitement de données qu'elles effectuent (approche basée sur le risque). Les responsables du traitement ont également l'obligation, dans certains cas, de notifier les violations de données à caractère personnel. En outre, les pouvoirs publics et les entreprises qui effectuent des traitements de données présentant des risques devront tous désigner un délégué à la protection des données.

Contrôle et réparation

Le règlement confirme l'obligation actuellement imposée aux États membres de mettre en place une autorité de contrôle indépendante au niveau national. Il a également pour objectif d'instaurer des mécanismes visant à assurer une application cohérente de la législation en matière de protection des données dans l'ensemble de l'UE. En particulier, dans des affaires transfrontières importantes faisant intervenir plusieurs autorités de contrôle nationales, une décision de contrôle unique sera prise. Ce principe, connu sous le nom de "guichet unique", permettra à une entreprise ayant des filiales dans plusieurs États membres de n'avoir à traiter qu'avec l'autorité de contrôle de l'État membre dans lequel elle a son établissement principal.

Le règlement prévoit la création d'un comité européen de la protection des données. Ce comité se composerait de représentants des 28 autorités de contrôle indépendantes et remplacerait l'actuel Comité de l'article 29.

Le règlement reconnaît aux personnes concernées le droit d'introduire une réclamation auprès d'une autorité de contrôle, ainsi que le droit de former un recours juridictionnel, le droit à réparation et le droit d'invoquer l'application des dispositions en matière de responsabilité. Afin de garantir la proximité entre les utilisateurs et les décisions qui les concernent, les personnes concernées auront le droit de soumettre au contrôle de leur juridiction nationale toute décision de l'autorité chargée de la protection des données dont elles relèvent, quel que soit l'État membre dans lequel le responsable du traitement est établi.

Le règlement prévoit des sanctions très lourdes à l'égard des responsables du traitement ou des sous-traitants qui violent les règles relatives à la protection des données. Les responsables du traitement s'exposent à des amendes pouvant s'élever à 20 millions € ou à 4% de leur chiffre d'affaires annuel mondial. Ces sanctions administratives seront infligées par les autorités nationales chargées de la protection des données.

Transferts vers un pays tiers

Le règlement couvre également le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales. À cette fin, il charge la Commission d'évaluer le niveau de protection assuré par un territoire ou un secteur de traitement dans un pays tiers. Lorsque la Commission n'a pas constaté par voie de décision le caractère adéquat du niveau de protection sur un territoire ou dans un secteur, le transfert de données à caractère personnel peut néanmoins avoir lieu dans certains cas particuliers ou lorsque des garanties appropriées ont été fournies (clauses types de protection des données, règles d'entreprise contraignantes, clauses contractuelles).