Il per­met aux citoyens de l’Union euro­péenne (UE) de mieux contrô­ler leurs don­nées à carac­tère per­son­nel. Il moder­nise et uni­for­mise éga­le­ment les règles per­met­tant aux entre­prises de dimi­nuer la bureau­cra­tie et de pro­fi­ter d’une meilleure confiance du consom­ma­teur.

Le règle­ment géné­ral sur la pro­tec­tion des don­nées (RGPD) fait par­tie du paquet de réformes de l’UE sur la pro­tec­tion des don­nées, et de la direc­tive sur la pro­tec­tion des don­nées dans les sec­teurs de la police et de la jus­tice pénale.

Le RGPD ren­force les droits exis­tants, octroie de nou­veaux droits et accorde aux citoyens un meilleur contrôle sur leurs don­nées à carac­tère per­son­nel, notam­ment :

• un meilleur accès à leurs don­nées — y com­pris en four­nis­sant plus d’in­for­ma­tions sur la manière dont les don­nées sont trai­tées et en garan­tis­sant que ces infor­ma­tions sont dis­po­nibles de manière claire et com­pré­hen­sible ;
• un nou­veau droit à la por­ta­bi­li­té des don­nées — des­ti­né à faci­li­ter le trans­fert de don­nées à carac­tère per­son­nel entre pres­ta­taires de ser­vices ;
• un droit d’effacement (« droit à l’oubli ») plus clair — lorsqu’une per­sonne ne sou­haite plus que ses don­nées soient trai­tées et qu’il n’existe pas de motif légi­time de les conser­ver, les don­nées seront effa­cées ;
• le droit de savoir quand ses don­nées à carac­tère per­son­nel ont été pira­tées — les entre­prises et les orga­ni­sa­tions devront infor­mer sans délai les per­sonnes en cas de vio­la­tion grave des don­nées. Elles devront éga­le­ment en infor­mer les auto­ri­tés de contrôle de la pro­tec­tion des don­nées com­pé­tentes.

Le RGPD est conçu pour créer des oppor­tu­ni­tés com­mer­ciales et encou­ra­ger l’innovation grâce à dif­fé­rentes mesures, y com­pris :

• un ensemble unique de règles euro­péennes — une légis­la­tion euro­péenne unique pour la pro­tec­tion des don­nées repré­sen­te­rait une éco­no­mie de 2,3 mil­liards d’euros par an ;
• un délé­gué à la pro­tec­tion des don­nées, char­gé de la pro­tec­tion des don­nées, sera dési­gné par les auto­ri­tés publiques et par les entre­prises qui traitent les don­nées à grande échelle ;
• un gui­chet unique — les entre­prises ne doivent trai­ter qu’avec une seule auto­ri­té de contrôle (dans le pays de l’UE dans lequel elles sont prin­ci­pa­le­ment implan­tées);
• des règles euro­péennes pour les entre­prises non euro­péennes — les entre­prises basées en dehors de l’UE doivent appli­quer les mêmes règles quand elles pro­posent des ser­vices ou des biens, ou suivent le com­por­te­ment des per­sonnes au sein de l’UE ;
• des règles pro­pices à l’innovation — une garan­tie que les mesures de pro­tec­tion des don­nées sont inté­grées dans les pro­duits et les ser­vices depuis les pre­mières étapes du déve­lop­pe­ment (pro­tec­tion des don­nées dès la concep­tion et par défaut);
• des tech­niques res­pec­tueuses de la vie pri­vée telles que la pseu­do­ny­mi­sa­tion (lorsque les champs d’identification dans un enre­gis­tre­ment de don­nées sont rem­pla­cés par un ou plu­sieurs iden­ti­fiants fac­tices) et le chif­fre­ment (lorsque les don­nées sont codées de manière telle que seules les par­ties auto­ri­sées peuvent les lire);
• la sup­pres­sion des noti­fi­ca­tions — les nou­velles règles de pro­tec­tion des don­nées sup­pri­me­ront la plu­part des obli­ga­tions de noti­fi­ca­tion et les coûts asso­ciés à ces obli­ga­tions. Un des objec­tifs du règle­ment sur la pro­tec­tion des don­nées consiste à sup­pri­mer les obs­tacles au libre flux des don­nées à carac­tère per­son­nel au sein de l’UE. Il per­met­tra aux entre­prises de se déve­lop­per plus faci­le­ment ;
• des ana­lyses d’impact — les entre­prises devront effec­tuer des ana­lyses d’impact lorsque le trai­te­ment des don­nées peut engen­drer un risque éle­vé pour les droits et liber­tés des per­sonnes phy­siques ;
• la tenue des registres — les PME ne sont pas obli­gées de tenir des registres des acti­vi­tés de trai­te­ment, à moins que le trai­te­ment ne soit régu­lier ou sus­cep­tible d’engendrer un risque pour les droits et liber­tés de la per­sonne dont les don­nées sont trai­tées.

Guide de la Commission de Protection de la Vie pri­vée

Guide de la Commission de Protection de la Vie pri­vée

Cette info­gra­phie résume la situa­tion en France, mais est glo­ba­le­ment inté­res­sante aus­si pour la Belgique. L’autorité com­pé­tente en France est la CNIL tan­dis qu’en Belgique, il s’a­git de la Commission de la pro­tec­tion de la vie pri­vée.

Auteur de l’in­fo­gra­phie : (cc) CLUSIF.