#RGPD Réglement et Directive

Liens vers les textes Réglement et Directive

Si vous vous intéressez seulement au RGPD, pour mémoire, réglementation applicable en Mai 2018, un document du MEDEF vous donne un bon aperçu en quelques pages et un document co-produit AFAI CIGREF TECH'IN vous guide dans l'application du RGPD. Vous trouverez tous ces liens de ces documents dans mes posts #RGPD.

Par ailleurs, vous pouvez me contacter pour toute question et n'oubliez pas que la CNIL reste disponible sur ce sujet. Pour avoir pratiqué la CNIL et différentes CDIL, je peux affirmer qu'ils soutiennent toutes les démarches volontaires.

Enfin, je vous joins ci-dessous pour les dernières nouvelles un résumé fait par Amandine Sanial, AEF, du 13 décembre 2017. 

La ministre de la Justice Nicole Belloubet présente en conseil des ministres, mercredi 13 décembre 2017, le projet de loi visant à adapter la législation française au RGPD (règlement européen sur la protection des données personnelles). Ce nouveau cadre juridique européen, relatif à l’informatique, aux fichiers et aux libertés, entrera en vigueur le 25 mai 2018. Ce projet de loi a notamment pour but de "simplifier les règles" sur les données personnelles pour les entreprises, en remplaçant par exemple le contrôle a priori par un contrôle a posteriori des risques causés par le traitement des données. Dans un communiqué, la ministre précise également que les pouvoirs de la Cnil seront renforcés. Les sanctions encourues seront quant à elles "considérablement augmentées" et portées jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé pour une entreprise.  

"Le développement de l’ère du numérique oblige à repenser le cadre applicable aux données personnelles : c’est ce qui a été fait au niveau européen", explique Nicole Belloubet, à l’issue du conseil des ministres, mercredi 13 décembre 2017. Elle rappelle que l’Europe s’est dotée de deux textes, un règlement et une directive. "Il fallait donc adapter notre droit national au droit européen" et se positionner "non pas en suiveur, mais en promoteur". 

UN CADRE UNIFIÉ POUR LES ENTREPRISES 

Le projet de loi "permet des avancées majeures en termes de protection des données personnelles", juge Nicole Belloubet. Il crée notamment "un cadre unifié et protecteur pour les données personnelles des Européens, applicable à l’ensemble des entreprises et de leurs sous-traitants". Il est précisé que ce cadre s’applique quelle que soit l’implantation de l’entreprise, "dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l’Union européenne". 

Le projet de loi instaure également de nouveaux droits pour les citoyens, en particulier "un droit à la portabilité des données personnelles". "Cela va devenir un droit pour chaque citoyen de récupérer ses données et de passer d’un prestataire à un autre, de façon simple", ajoute Mounir Mahjoubi, secrétaire d’État chargé du numérique, à l’issue du conseil des ministres. "C’est destiné à renforcer la confiance des citoyens dans l’utilisation qui est faite de leurs données personnelles, tout en permettant de donner aux opérateurs économiques un environnement attractif", explique Nicole Belloubet. 

"Les mineurs de moins de 16 ans seront mieux protégés", affirme également la ministre. Le projet de loi fixe à 16 ans l’âge à partir duquel une personne pourra donner son consentement pour la collecte de ses données personnelles, notamment par les réseaux sociaux. En dessous de cet âge, le consentement des titulaires de l’autorité parentale sera nécessaire, par exemple pour l’inscription sur Facebook, explique la ministre. 

SIMPLIFIER LES RÈGLES 

La ministre souligne que ce projet de loi a également pour but de simplifier les règles sur les données personnelles, et d’éviter la surtransposition des textes européens. Ainsi, il remplace le système de contrôle a priori, basé sur les régimes de déclaration et d’autorisation préalables, par un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques causés par le traitement des données. "Cela permet de responsabiliser les acteurs", déclare la garde des Sceaux. 

Elle prend l’exemple d’une petite entreprise qui veut établir un fichier client : "elle n’aura plus à demander une autorisation préalable à la Cnil". "En revanche, si elle estime que son fichier comporte des risques, elle devra réaliser une étude d’impact et saisir la Cnil qui lui donnera un avis", explique Nicole Belloubet. À l’inverse, si une grande entreprise veut utiliser des données personnelles, elle devra réaliser une étude d’impact préalable et désigner un délégué à la protection des données. 

UN CONTRÔLE A PRIORI POUR LES DONNÉES "SENSIBLES" 

La ministre de la Justice précise néanmoins que la France a souhaité conserver un certain nombre de dérogations. "Il y aura toujours un contrôle a priori quand il s’agit de données sensibles ou quand il s’agit de données qui s’attachent au traitement pénal des citoyens", par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, les traitements utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques, ou les données de santé. 

Pour le traitement de données à caractère personnel en matière pénale, le projet de loi vise à renforcer les droits des personnes en créant "un droit à l’information", qui prévoit le droit d’accès, de rectification et d’effacement des données. Il introduit également des règles encadrant les transferts de données à des États tiers. Le régime d’autorisation préalable a également été maintenu "notamment pour les traitements qui concernent le fichier des casiers judiciaires, le fichier des empreintes génétiques, le fichier TAJ", précise Nicole Belloubet.