Règlement général sur la protection des données (RGPD)
SYNTHÈSE DU DOCUMENT:
Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
QUEL EST L’OBJET DE CE RÈGLEMENT?
- Le règlement général sur la protection des données (RGPD) protège les individus lorsque leurs données sont traitées par le secteur privé et la plupart des agents du secteur public. Le traitement des données par les autorités compétentes à des fins répressives est sujet à la directive en matière de protection des données dans le domaine répressif en remplacement (voir la synthèse).
- Le RGPD permet aux individus de mieux contrôler leurs données à caractère personnel. Il modernise et uniformise également les règles permettant aux entreprises de diminuer la bureaucratie et de profiter d’une meilleure confiance du consommateur.
- Il établit un système d’autorités de supervision pleinement indépendantes chargées de surveiller et de faire respecter la conformité.
- Il intègre la réforme de la protection des données de l’Union européenne (UE), en même temps que la directive en matière de protection des données dans le domaine répressif et le règlement (UE) 2018/1725 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’UE (voir la synthèse).
POINTS CLÉS
Droits des personnes
Le RGPD renforce les droits existants, octroie de nouveaux droits et accorde aux personnes un meilleur contrôle sur les données à caractère personnel les concernant. Il comprend:
- Un accès facilité aux données personnelles d’un individu. Cela inclut de fournir davantage d’informations sur la manière dont ces données sont traitées et de veiller à ce que ces informations soient disponibles de manière claire et compréhensible.
- Un nouveau droit à la portabilité des données. Il facilite le transfert de données à caractère personnel entre prestataires de services.
- Un droit d’effacement plus clair (droit à l’oubli). Lorsqu’une personne ne souhaite plus que ses données soient traitées et qu’il n’existe pas de motif légitime de les conserver, les données seront effacées.
- Le droit de savoir quand des données à caractère personnel ont été violées. Les entreprises et les organisations doivent informer l’autorité de surveillance compétente en matière de protection des données ainsi que, en cas de violation grave des données, les personnes concernées.
Règles pour les entreprises
Le RGPD crée des conditions de concurrence équitables pour toutes les entreprises opérant sur le marché intérieur de l’UE, adopte une approche technologiquement neutre et stimule l’innovation à travers un certain nombre d’étapes, dont les suivantes.
- Un ensemble unique de règles harmonisées au niveau de l’UE. Une législation unique à l’échelle de l’UE pour la protection des données renforce la sécurité juridique et réduit la charge administrative.
- Un délégué à la protection des données. Une personne responsable de la protection des données doit être désignée par les autorités publiques et par les entreprises qui traitent des données à grande échelle ou dont l’activité principale est le traitement de catégories particulières de données, telles que les données relatives à la santé.
- Guichet unique. Les entreprises ne doivent traiter qu’avec une seule autorité de contrôle (dans l’État membre de l’UE dans lequel elles ont leur établissement principal); les autorités de contrôle compétentes coopèrent dans le cadre du comité européen de la protection des données pour les affaires transfrontalières.
- Des règles européennes pour les entreprises de pays tiers. Les entreprises de pays tiers doivent appliquer les mêmes règles quand elles proposent des services ou des biens ou suivent le comportement des personnes au sein de l’UE.
- Des règles propices à l’innovation. Une garantie que les mesures de protection des données sont intégrées dans les produits et les services depuis les premières étapes du développement (protection des données dès la conception et par défaut).
- Des techniques respectueuses de la vie privée. Par exemple, la pseudonymisation (lorsque les champs d’identification d’un enregistrement de données sont remplacés par un ou plusieurs identifiants artificiels) et le cryptage (lorsque les données sont codées de manière à ce que seules les personnes autorisées puissent les lire) sont encouragés afin de limiter l’intrusion dans le traitement.
- Suppression des notifications. Le RGPD a supprimé la plupart des obligations de notification et les coûts associés à celles-ci. L’un de ses objectifs est de supprimer les obstacles entravant la libre circulation des données à caractère personnel au sein de l’UE. Cela permettra aux entreprises de se développer plus facilement sur le marché numérique unique.
- Analyses d’impact sur la protection des données. Les entreprises devront effectuer des analyses d’impact lorsque le traitement des données peut engendrer un risque élevé pour les droits et libertés des personnes physiques.
- Tenue de registres. Les petites et moyennes entreprises ne sont pas obligées de tenir des registres des activités de traitement, à moins que le traitement ne soit régulier ou susceptible d’engendrer un risque pour les droits et libertés de la personne dont les données sont traitées.
- Une boîte à outils moderne pour les transferts internationaux de données. Le RGPD offre divers instruments pour transférer des données en dehors de l’UE, y compris des décisions d’adéquation adoptées par la Commission européenne lorsque le pays tiers offre un niveau de protection adéquat, des clauses contractuelles (normes) préapprouvées, des règles d’entreprise contraignantes, des codes de conduite et une certification.
Réexamen
La Commission européenne a présenté un rapport sur l’évaluation et le réexamen du règlement en juin 2020. La prochaine évaluation est prévue en 2024.
DEPUIS QUAND CE RÈGLEMENT S’APPLIQUE-T-IL?
Le RGPD s’applique depuis le 25 mai 2018.
CONTEXTE
Pour de plus amples informations, veuillez consulter:
Suite à la pandémie de COVID-19 et à l’introduction de mesures destinées à faire face à l’impact de cette crise, la Commission a adopté:
DOCUMENT PRINCIPAL
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1-88)
Les modifications successives du règlement (UE) 2016/679 ont été intégrées au texte original. Cette version consolidée n’a qu’une valeur documentaire.
DOCUMENTS LIÉS
Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89-131)
Voir la version consolidée.
Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39-98)
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37-47)
Voir la version consolidée.
dernière modification 07.01.2022