Le 27 avril 2016, le Parlement Européen a adopté de nouvelles dispositions relatives à l’utilisation et à la protection des données personnelles.
Le parlement a adopté trois textes :
Ces textes entreront en vigueur le 25 mai 2016.
Le règlement sera applicable à partir du 25 mai 2018.
Les délais de transposition des directives, ont été fixés au 6 mai 2018 pour la directive (UE) 2016/680 et au 25 mai 2018 la directive (UE) 2016/681.
Le règlement général relatif à la protection des données personnelles était attendu depuis plusieurs mois.
Les dispositions du règlement et de la directive (UE) 2016/680 visent notamment les points suivants :
Le responsable du traitement devra être en mesure de démontrer que la personne concernée a donné son consentement.
Le consentement doit être clair et explicite.
Il peut être retiré à tout moment.
La personne concernée pourra également obtenir du responsable du traitement la limitation du traitement dans certains cas.
Le règlement introduit le « droit à l’oubli » pour la personne concernée laquelle pourra obtenir l’effacement de ses données, dans les meilleurs délais pour l’un des motifs suivants notamment (article 17) :
Toutefois, le « droit à l’oubli » ne pourra pas être appliqué dans les cas où le traitement est nécessaire :
Le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité.
Si les finalités d’un traitement sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, une analyse de l’impact des opérations de traitement envisagées devra être effectuée.
Si cette analyse indique que le traitement présenterait un risque élevé, l’autorité de contrôle compétente, en France il s’agit de la CNIL, devra être consultée.
Le règlement encourage l’élaboration de codes de conduite destinés à contribuer à la bonne application de celui-ci ainsi que la mise en place de mécanismes de certification, labels et marques.
La CNIL devra veiller à ce que les amendes administratives imposées par le règlement pour sanctionner les violations de celui-ci soient effectives, proportionnées et dissuasives.
Selon les cas de violation, les amendes pourront aller jusqu’à 20 millions d’euros ou, pour les entreprises, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent et ce, y compris en cas de non-respect d’une injonction.
La violation de données à caractère personnel doit être notifiée, dans un délai de 72 heures, à l’autorité de contrôle compétente, la CNIL pour la France, et dans les meilleurs délais à la personne concernée, à moins que la violation n’engendre pas de risque pour les droits et libertés des personnes physiques.
Le responsable du traitement peut désigner un délégué à la protection des données lequel est obligatoire lorsque le traitement est effectué par un autorité ou organisme public à l’exception des juridictions ou lorsque les activités du responsable de traitement consistent en des opérations de traitement exigeant un suivi régulier ou systématique ou un traitement à grande échelle de certaines données (ex. : donnée raciale ethnique, opinions publiques etc.).