Il a principalement trois objectifs dans le cadre du renforcement du cadre r\u00e9glementaire actuel.<\/p>\n
<\/p>\n
Le r\u00e8glement impose la mise \u00e0 disposition d\u2019une information claire, intelligible et ais\u00e9ment accessible aux personnes concern\u00e9es par les traitements de donn\u00e9es. L\u2019expression du consentement est d\u00e9finie : les utilisateurs doivent \u00eatre inform\u00e9s de l\u2019usage fait de leurs donn\u00e9es et doivent donner leur accord pour le traitement de leurs donn\u00e9es \u00e0 caract\u00e8re personnel, ou pouvoir simplement s\u2019y opposer.<\/p>\n
La charge de la preuve du consentement incombe au responsable de traitement. La mat\u00e9rialisation de ce consentement doit d\u00e9sormais \u00eatre mat\u00e9rialis\u00e9e et non ambig\u00fce.<\/p>\n
Ce nouveau droit permet \u00e0 une personne de r\u00e9cup\u00e9rer les donn\u00e9es qu\u2019elle a fournies sous une forme ais\u00e9ment r\u00e9utilisable, et, le cas \u00e9ch\u00e9ant, de les transf\u00e9rer ensuite \u00e0 un tiers. Il s\u2019agit ici de redonner aux personnes la ma\u00eetrise de leurs donn\u00e9es, et de compenser en partie l\u2019asym\u00e9trie entre le responsable de traitement et la personne concern\u00e9e.<\/p>\n
Pour la premi\u00e8re fois, la l\u00e9gislation europ\u00e9enne comporte des dispositions sp\u00e9cifiques pour les mineurs de moins de 16 ans<\/strong>. L\u2019information sur les traitements de donn\u00e9es les concernant doit \u00eatre r\u00e9dig\u00e9e en des termes clairs et simples, que l’enfant peut ais\u00e9ment comprendre. Le consentement doit \u00eatre recueilli aupr\u00e8s du titulaire de l\u2019autorit\u00e9 parentale. Les \u00c9tats membres peuvent abaisser cet \u00e2ge par la loi, sans toutefois qu\u2019il puisse \u00eatre inf\u00e9rieur \u00e0 13 ans. Devenu adulte, le consentement donn\u00e9 sur un traitement doit pouvoir \u00eatre retir\u00e9 et les donn\u00e9es effac\u00e9es.<\/p>\n Tout comme pour la l\u00e9gislation relative \u00e0 la protection des consommateurs, les associations actives dans le domaine de la protection des droits et libert\u00e9s des personnes en mati\u00e8re de protection des donn\u00e9es auront la possibilit\u00e9 d\u2019introduire des recours collectifs en mati\u00e8re de protection des donn\u00e9es personnelles.<\/p>\n Toute personne ayant subi un dommage mat\u00e9riel ou moral du fait d’une violation du r\u00e8glement a le droit d’obtenir du responsable du traitement ou du sous-traitant r\u00e9paration du pr\u00e9judice subi.<\/p>\n <\/p>\n <\/p>\n Alors que la directive de 1995 reposait en grande partie sur la notion de \u00ab formalit\u00e9s pr\u00e9alables \u00bb (d\u00e9claration, autorisations), le r\u00e8glement europ\u00e9en repose sur une logique de conformit\u00e9, dont les acteurs sont responsables, sous le contr\u00f4le et avec l\u2019accompagnement du r\u00e9gulateur.<\/p>\n Les responsables de traitements devront mettre en \u0153uvre toutes les mesures techniques et organisationnelles n\u00e9cessaires au respect de la protection des donn\u00e9es personnelles, \u00e0 la fois d\u00e8s la conception du produit ou du service et par d\u00e9faut. Concr\u00e8tement, ils devront veiller \u00e0 limiter la quantit\u00e9 de donn\u00e9es trait\u00e9e d\u00e8s le d\u00e9part (principe dit de \u00ab minimisation \u00bb).<\/p>\n Afin d\u2019assurer une protection optimale des donn\u00e9es personnelles qu\u2019ils traitent de mani\u00e8re continue, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des donn\u00e9es appropri\u00e9es et d\u00e9montrer cette conformit\u00e9 \u00e0 tout moment<\/strong>.<\/p>\n La cons\u00e9quence de cette responsabilisation des acteurs est la suppression des obligations d\u00e9claratives d\u00e8s lors que les traitements ne constituent pas un risque pour la vie priv\u00e9e des personnes. <\/p>\n D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des donn\u00e9es (Data Protection Officer) En dehors de ces cas, la d\u00e9signation d\u2019un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es sera bien s\u00fbr possible. Pour tous les traitements \u00e0 risque, le responsable de traitement devra conduire une \u00e9tude d\u2019impact compl\u00e8te, faisant appara\u00eetre les caract\u00e9ristiques du traitement, les risques et les mesures adopt\u00e9es. D\u00e9claration obligatoire :\u00a0lorsqu\u2019il constate une violation de donn\u00e9es \u00e0 caract\u00e8re personnel, le responsable de traitement doit notifier \u00e0 l\u2019autorit\u00e9 de protection des donn\u00e9es la violation dans les 72 heures. L\u2019information des personnes concern\u00e9es est requise si cette violation est susceptible d’engendrer un risque \u00e9lev\u00e9 pour les droits et libert\u00e9s d’une personne.<\/p>\n Les donn\u00e9es personnelles doivent \u00eatre d\u00e9sormais trait\u00e9es de mani\u00e8re \u00e0 garantir une s\u00e9curit\u00e9 et une confidentialit\u00e9 appropri\u00e9es.<\/p>\n Les responsables de traitement et les sous-traitants peuvent faire l\u2019objet de sanctions administratives importantes en cas de m\u00e9connaissance des dispositions du r\u00e8glement. Les autorit\u00e9s de protection peuvent notamment :<\/p>\n Des nouvelles sanctions encadr\u00e9es, gradu\u00e9es et renforc\u00e9es<\/p>\n S\u2019agissant des nouveaux outils de conformit\u00e9 qui peuvent \u00eatre utilis\u00e9s par les entreprises, l\u2019autorit\u00e9 peut retirer la certification d\u00e9livr\u00e9e ou ordonner \u00e0 l\u2019organisme de certification de retirer la certification. Le sous-traitant est tenu de respecter des obligations sp\u00e9cifiques en mati\u00e8re de s\u00e9curit\u00e9, de confidentialit\u00e9 et en mati\u00e8re d\u2019accountability. Il a principalement trois objectifs dans le cadre du renforcement du cadre r\u00e9glementaire actuel. Renforcer les droits des personnes, notamment par la cr\u00e9ation d\u2019un droit \u00e0 la portabilit\u00e9 des donn\u00e9es personnelles et de dispositions propres aux personnes mineures ; Responsabiliser les acteurs traitant des donn\u00e9es (responsables de traitement et sous-traitants) ; Cr\u00e9dibiliser la r\u00e9gulation gr\u00e2ce […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"yoast_head":"\nIntroduction du principe des actions collectives<\/strong><\/span><\/h3>\n
Un droit \u00e0 r\u00e9paration des dommages mat\u00e9riel ou moral<\/span><\/strong><\/h3>\n
Une conformit\u00e9 bas\u00e9e sur la transparence et la responsabilisation<\/strong><\/h2>\n
Une nouvelle cl\u00e9 de lecture : la protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut (privacy by design)<\/strong><\/span><\/h3>\n
Un all\u00e8gement des formalit\u00e9s administratives et une responsabilisation des acteurs (accountability)<\/strong><\/span><\/h3>\n
Suppression de nombreuses obligations d\u00e9claratives<\/strong><\/span><\/h3>\n
\nQuant aux traitements soumis actuellement \u00e0 autorisation, le r\u00e9gime d\u2019autorisation pourra \u00eatre maintenu par le droit national (par exemple en mati\u00e8re de sant\u00e9) ou sera remplac\u00e9 par une nouvelle proc\u00e9dure centr\u00e9e sur l\u2019\u00e9tude d\u2019impact sur la vie priv\u00e9e<\/strong>.<\/p>\n<\/h2>\n
Mise en place de nouveaux outils de conformit\u00e9<\/strong><\/h2>\n
D\u00e9signation d\u2019un DPO (qui remplacera le CIL actuel)<\/strong><\/span><\/h3>\n
\nLe CIL actuel n\u2019est en aucun cas le repr\u00e9sentant de la CNIL, mais en est, au sein de l\u2019entreprise, le correspondant. Avec le nouveau r\u00e8glement, il en devient le d\u00e9l\u00e9gu\u00e9, ce qui \u00e9tend lourdement son champ de responsabilit\u00e9.
\nLes responsables de traitement et les sous-traitants devront obligatoirement d\u00e9signer un d\u00e9l\u00e9gu\u00e9 :<\/p>\n\n
\nCes dispositions sont fortement recommand\u00e9es surtout qaund l\u2019entreprise traite des donn\u00e9es \u00ab sensibles \u00bb, notamment dans le cadre des interventions des entreprises de services \u00e0 la personne, aupr\u00e8s de leurs b\u00e9n\u00e9ficiaires. (enfants, personnes \u00e2g\u00e9es, personnes vuln\u00e9rables ou d\u00e9pendantes, etc.)
\nLes responsables de traitement peuvent opter pour un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es mutualis\u00e9 ou externe. Le d\u00e9l\u00e9gu\u00e9 devient le v\u00e9ritable \u00ab chef d\u2019orchestre \u00bb de la conformit\u00e9 en mati\u00e8re de protection des donn\u00e9es au sein de son organisme. Il est ainsi charg\u00e9 notamment :<\/p>\n\n
Les \u00ab \u00e9tudes d\u2019impact sur la vie priv\u00e9e \u00bb (EIVP ou PIA)<\/strong><\/span><\/h3>\n
\nConcr\u00e8tement, il s\u2019agit notamment des traitements de donn\u00e9es sensibles (donn\u00e9es qui r\u00e9v\u00e8lent l\u2019origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l\u2019appartenance syndicale, les donn\u00e9es concernant la sant\u00e9, l\u2019orientation sexuelle, mais aussi, fait nouveau, les donn\u00e9es g\u00e9n\u00e9tiques ou biom\u00e9triques), et de traitements reposant sur \u00ab l\u2019\u00e9valuation syst\u00e9matique et approfondie d\u2019aspects personnels des personnes physiques \u00bb, c\u2019est-\u00e0-dire notamment de profilage.
\nPar exemple, un traitement de recrutement cibl\u00e9 de salari\u00e9s dans le cadre des intervenants \u00e0 domicile peut conduire \u00e0 traiter de telles donn\u00e9es.
\nSi l\u2019organisme ne parvient pas \u00e0 r\u00e9duire ce risque \u00e9lev\u00e9 par des mesures appropri\u00e9es, il devra consulter l\u2019autorit\u00e9 de protection des donn\u00e9es avant de mettre en \u0153uvre ce traitement. Les \u00ab CNIL \u00bb pourront s\u2019opposer au traitement \u00e0 la lumi\u00e8re de ses caract\u00e9ristiques et cons\u00e9quences.<\/p>\n<\/h3>\n
Obligation de notification des violations de donn\u00e9es personnelles\u00a0aupr\u00e8s des tiers<\/span><\/strong><\/h3>\n
<\/h3>\n
Obligation de s\u00e9curit\u00e9 \u00a0du syst\u00e8me d’information pour tous les responsables de traitements<\/span><\/strong><\/h3>\n
\n
\nS\u2019agissant des amendes administratives, elles peuvent s\u2019\u00e9lever, selon la cat\u00e9gorie de l\u2019infraction, de 2% jusqu\u2019\u00e0 4% du chiffre d’affaires annuel mondial de l\u2019entreprise, \u00e0 10 ou 20 millions d\u2019euros<\/strong> pour les autres organismes.
\nCe montant doit \u00eatre rapport\u00e9 au fait que, pour les traitements transnationaux, la sanction sera conjointement adopt\u00e9e entre l\u2019ensemble des autorit\u00e9s concern\u00e9es, donc potentiellement pour le territoire de toute l\u2019Union europ\u00e9enne.
\nDans ce cas, une seule et m\u00eame d\u00e9cision de sanction d\u00e9cid\u00e9e par plusieurs autorit\u00e9s de protection sera inflig\u00e9e \u00e0 l\u2019entreprise.<\/p>\nNouvelles obligations des sous-traitants<\/span><\/strong><\/h3>\n
\nIl a notamment une obligation de conseil aupr\u00e8s du responsables de traitement pour la conformit\u00e9 \u00e0 certaines obligations sur r\u00e8glement (PIA, failles, s\u00e9curit\u00e9, destruction des donn\u00e9es, contribution aux audits)
\nIl est tenu de maintenir un registre et de d\u00e9signer un DPO dans les m\u00eames conditions qu\u2019un responsable de traitement.<\/p>\n","protected":false},"excerpt":{"rendered":"