Droit institutionnel de l'Union

Entrée en vigueur du règlement général sur la protection des données : le changement dans la continuité.

Maxime Kheloufi
Publié : 30 October 2019

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

« Toute personne a droit à la protection des données à caractère personnel la concernant » (article 8 de la Charte des droits fondamentaux de l’Union européenne – ci-après : la Charte – et article 16 du Traité sur l’Union européenne – ci-après : TUE). C’est en substance une des innovations apportées par le Traité d’Amsterdam en 1997 et dont la portée symbolique sera renforcée par sa codification au sein de la Charte, ayant obtenu la même valeur juridique que les traités avec le Traité de Lisbonne.

Pourtant, le premier texte de l’Union européenne s’intéressant à la question de la protection des données à caractère personnel précède de quelques années ces textes de droit primaire. C’est en effet avec la directive 95/46/CE du 24 octobre 1995, donc un instrument de droit dérivé, que le droit de l’Union européenne (ci-après : UE) s’est saisi de cette question nouvelle, tout juste évoquée pour la première fois dans les années 70 par le Conseil de l’Europe[1].

A défaut de pouvoir se baser sur les traités ou sur la Charte, la directive 95/46/CE a usé de la traditionnelle disposition concernant le « rapprochement des législations » entre les États membres de l’UE dans le but de la réalisation du marché intérieur[2]. C’est donc en se fondant sur cette base légale que le Conseil, statuant selon l’ancienne procédure dite de « codécision »[3], a pu développer toute une législation jetant les premiers principes et objectifs concernant la vision communautaire de la protection des données à caractère personnel.

La nécessité de justifier cette intervention de l’UE dans le cadre de la réalisation du marché intérieur, sans laquelle la directive se serait trouvée dépourvue de toute base légale, façonne en filigrane la conception de la protection des données à caractère personnel. Ainsi, il ne s’agit pas simplement de protéger les personnes physiques contre toute atteinte dans leur droit au respect de leurs données à caractère personnel, mais aussi, et peut-être surtout, d’assurer des standards de protection communs à tous les États membres, afin de permettre une libre circulation de ces données et faciliter ainsi la réalisation du marché intérieur. C’est ainsi que si « les systèmes de traitement de données sont au service de l'homme; qu'ils doivent [...] respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée »[4], il n’en demeure pas moins qu’un des objectifs visés est que « du fait de la protection équivalente résultant du rapprochement des législations nationales, les États membres ne pourront plus faire obstacle à la libre circulation entre eux de données à caractère personnel pour des raisons relatives à la protection des droits et libertés des personnes, notamment du droit à la vie privée »[5].

Si cette directive – assez largement inspirée par les lois suédoise[6], allemande[7] et française[8] – a su poser les grands principes et les principaux objectifs relatifs à la protection des données à caractère personnel au sein de l’UE, sa forme est néanmoins apparue comme perfectible. Ce besoin de retravailler les questions autour de la protection des données à caractère personnel a notamment été souligné par le développement de l’économie numérique, l’objectif de réalisation, par la Commission européenne, d’un marché unique du numérique[9] et par les nouveaux enjeux autour de la collecte de données notamment à des fins de prévention du terrorisme ou d’infractions pénales[10].

C’est ainsi que les institutions de l’Union ont travaillé au remplacement de la directive 95/46/CE. C’est chose faite depuis le 27 avril 2016, avec l’adoption du règlement 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Ce texte, élément central du paquet législatif « données à caractère personnel » est accompagné de deux directives, l’une relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données[11] ; et l’autre, relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière[12].

Il convient dès lors de s’intéresser tout particulièrement au RGDP. Ce texte étant particulièrement fourni[13], il ne sera pas traité en détail de chacune de ses dispositions. On notera toutefois que dans ses grands principes, il s’inscrit très directement dans la continuité de la directive qu’il remplace. Mais en parallèle, le législateur de l’Union a su saisir l’opportunité de ce texte pour générer une vraie plus-value par rapport à la directive 95/46/CE.

Les avancées permises par le RGPD sont essentiellement de deux ordres. D’une part, le RGPD permet une bien meilleure garantie du droit à la protection des données à caractère personnel pour les personnes physiques (I). D’autre part, il réorganise les relations entre acteurs de la « data » (II).

I. Vers une meilleure garantie du droit au respect des données à caractère personnel.

Si la directive 95/46/CE fut particulièrement importante en son temps afin de dresser un certain seuil de standards européens en matière de protection des données à caractère personnel, le RGPD permet de franchir un nouveau cap. Ceci s’explique grâce au choix du règlement comme instrument législatif d’une part (A), et par la consécration de droits nouveaux d’autre part (B).

A. Le choix du règlement comme instrument de lutte contre les disparités de législation au sein de l’Union.

Une évolution majeure apportée par le RGPD consiste au choix du règlement comme instrument législatif, là où les précédentes dispositions en matière de protection des données à caractère personnel s’appuyaient sur une directive. Ce changement de forme entraine d’importantes conséquences juridiques.

Tout d’abord, il convient de rappeler qu’à la lettre de l’article 288 du traité sur le fonctionnement de l’Union européenne – ci-après : TFUE – « le règlement a une portée générale. Il est obligatoire dans tous ses éléments et il est directement applicable dans tout État membre »[14]. Ceci, contrairement à une directive qui, de son côté, « lie tout État membre quant au résultat à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens »[15]. Le règlement offre ainsi aux particuliers la possibilité de se prévaloir d’un effet direct « complet », c’est-à-dire à la fois vertical et horizontal, de ses dispositions devant les juridictions nationales[16]. Ceci garantit une meilleure unité du droit de l’Union européenne en ce sens que chaque citoyen de l’Union peut, dès l’entrée en vigueur du règlement, se prévaloir des mêmes droits dans chaque État membre grâce notamment à la forme d’invocabilité particulièrement complète du règlement.

Ensuite, l’unité du droit de l’Union se trouve également renforcée en raison du fait que le texte du règlement s’applique directement dans chaque État membre. Que l’on invoque un article du règlement en France ou en Grèce ne change rien. Les dispositions sont les mêmes. Or ceci n’est pas garanti avec l’instrument de la directive. En effet, si la même directive s’applique dans tous les États membres, ces derniers sont libres d’en transposer les dispositions selon la forme qu’ils souhaitent, tant que les objectifs fixés par la directive sont atteints. Cette latitude laissée aux États membres peut conduire à une certaine fragmentation du droit entre les États membres, alors même qu’une directive fixe les mêmes objectifs à atteindre. C’est ce qui a d’ailleurs été reproché par le législateur européen lors de la rédaction du RGPD en son considérant 9[17]. Toutefois, le choix du règlement ne constitue pas la panacée au morcellement du droit. En effet, en raison de la difficulté à obtenir un consensus entre États membres et institutions de l’Union au sujet d’une nouvelle législation en matière de protection des données, pas moins de 56 articles ou considérants du RGPD[18] laissent une certaine marge de manœuvre aux États membres venant ainsi considérablement réduire l’ambition d’une meilleure unification d’un droit communautaire de la protection des données à caractère personnel.

Enfin, la forme de l’instrument législatif choisie, à savoir le règlement, s’accompagne d’une autre évolution, celle de la base légale du texte. Contrairement à la directive de 1995 qui avait eu recours aux dispositions relatives au rapprochement des législations pour la réalisation du marché intérieur, cette fois, le RGPD se fonde directement sur le droit primaire. Il est ainsi fait mention explicite des traités,[19] mais également de la Charte[20].

Au-delà de ces évolutions d’instrument juridique et de base légale, le RGPD vient consacrer un certain nombre de droits nouveaux en matière de protection des données à caractère personnel.

B. La consécration de droits nouveaux.

Si de façon générale le RGPD ne réinvente pas le droit des données à caractère personnel tant il s’inscrit dans la continuité et réaffirme de nombreux principes de la directive de 1995 qu’il abroge, on peut toutefois relever la consécration d’un certain nombre de droits nouveaux.

C’est le cas en particulier du droit à la portabilité des données[21]. Ce droit consiste en la possibilité, pour les personnes concernées par un traitement, de « recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement […] et le droit de transmettre ces données à un autre responsable du traitement »[22]. Ce droit nouveau permet notamment à un individu de ne plus être prisonnier d’un responsable du traitement qui refuserait de lui restituer ses données à caractères personnel afin de le maintenir captif d’un certain produit ou d’un service (un logiciel par exemple). Avec la consécration de ce droit à la portabilité, le RGPD facilite la concurrence entre responsables du traitement.

Autre nouveauté, celle relative à la « majorité numérique »[23]. Il ne s’agit pas de fixer une limite d’âge en deçà de laquelle les mineurs numériques n’auraient pas la possibilité d’utiliser les services numériques. Une telle mesure serait d’ailleurs relativement complexe à mettre en œuvre. L’âge fixé par le RGPD concernant la majorité numérique vise en réalité à prévoir des mécanismes offrant une meilleure protection des mineurs numériques et de leurs droits vis-à-vis de leurs données à caractère personnel. Ainsi, à la lettre du RGPD, les mineurs de moins de 16 ans ne sont pas considérés comme ayant pu consentir à la collecte de certaines de leurs données dans le cadre de l’usage de service de la société de l’information ou numériques. La conséquence immédiate pour le responsable du traitement est qu’une telle collecte de données est alors privée de toute licéité. Il n’est donc pas autorité à traiter de telles données à caractère personnel. Toutefois, cette majorité numérique fait partie des nombreuses dispositions vis-à-vis desquelles les États membres disposent d’une certaine marge de manœuvre. Le RGPD prévoit un seuil à l’âge de 16 ans, mais permet de descendre jusqu’à 13 ans. La France a fait le choix de fixer sa majorité numérique à l’âge de 15 ans[24]. En deçà, le consentement du ou des titulaires de l’autorité parentale est nécessaire en plus de celui du mineur[25].

Tout comme sous l’égide de la directive de 1995, avec le RGPD la place du consentement reste centrale pour qu’un traitement de données à caractère personnel puisse être reconnu comme licite[26]. Cet élément, au cœur de la législation, est réaffirmé et illustre bien l’idée d’une montée en puissance induite par le RGPD tout en conservant les grands principes posés par la directive de 1995 en matière de protection des données à caractère personnel.

Autre innovation à relever, celle rendant possible les actions collectives afin de faciliter l’exercice des droits consacrés par le RGPD[27]. Toutefois, les droits d’accès, d’opposition, d’information sur le traitement ou d’effacement (droit à « l’oubli ») ne sont que réaffirmés par le texte et figuraient déjà dans la directive de 1995[28] ou la jurisprudence[29].

Cette montée en puissance du droit à la protection des données à caractère personnel est également permise par une meilleure définition et une réorganisation de la place des différents acteurs de la « data ».

II. Une réorganisation des relations entre acteurs de la data.

Au-delà des individus concernés par la collecte et le traitement de leurs données à caractère personnel, on peut identifier deux principaux acteurs : ceux chargés du traitement de données et les autorités de contrôle. Avec le RGPD, les acteurs du traitement de données à caractère personnel voient leurs obligations accrues nécessitant de leur part une véritable responsabilisation (A). Les autorités de contrôle quant à elles, bénéficient de nouvelles prérogatives de contrôle et de sanction (B).

A. Une responsabilisation accrue des acteurs du traitement des données à caractère personnel.

À ce sujet, le changement de paradigme majeur réside en ce qu’il ne revient plus aux autorités de contrôle (CNIL) de démontrer qu’un acteur est en infraction avec la législation sur la protection des données. C’est désormais à cet acteur, c’est-à-dire au responsable du traitement, de prouver que ses activités de traitement sont conformes au RGPD[30]. On assiste à un renversement de la charge de la preuve. Ceci ne simplifie pas les démarches, notamment des acteurs économiques, d’autant que cette démonstration de conformité n’est jamais acquise, mais doit s’inscrire dans la durée. Afin de limiter les incertitudes à ce sujet, il est possible de recourir à des mécanismes de certification[31] ou d’élaborer des codes de conduite[32]. Ces éléments seuls ne semblent pas suffisants pour emporter la preuve de conformité au RGPD, mais ils témoignent toutefois d’une volonté en ce sens de la part du responsable du traitement[33].

La contrepartie de ce renversement de la charge de la preuve réside en ce que les acteurs collectant et traitant des données à caractère personnel sont aujourd’hui largement dispensés de toute notification préalable auprès des autorités de contrôle, alors même que ce régime de notification caractérisait particulièrement la directive de 1995[34] et la loi informatique et libertés avant sa révision de 2018. Avec le RGPD, et dans la continuité de la directive de 1995[35], ne demeure qu’un mécanisme de consultation préalable de l’autorité de contrôle pour certains traitements de données à caractère personnel dont une analyse d’impact réalisée par le responsable du traitement – laquelle est parfois obligatoire[36] – aurait révélé une menace particulière sur les droits des individus concernés[37]. L’autorité de contrôle décelant une violation du RGPD dispose alors de larges pouvoirs tels que l’interdiction du traitement ou encore le prononcé de sanctions administratives[38]. Si la notification préalable n’est plus de rigueur pour les traitements n’ayant qu’un faible impact sur les droits des personnes concernées, le mécanisme de consultation préalable cible tout de même les traitements les plus sensibles ou à grande échelle avec de véritables moyens d’action octroyés aux autorités de contrôles.

Mais les échanges entre responsables de traitements et autorités de contrôle sont bien plus larges. Le RGPD prévoit notamment que les responsables de traitements se doivent de signaler « dans les meilleurs délais » tout dysfonctionnement dans le traitement de données[39]. Autre illustration de cette coopération étroite et nécessaire : la fonction de délégué à la protection des données[40], véritable trait d’union entre responsable du traitement de données et autorité de contrôle. Cette fois, le RGPD s’inspire non pas de la directive de 1995, silencieuse à ce sujet, mais de la loi informatique et libertés française qui avait prévu la fonction de correspondant informatique et libertés[41].

Autre changement à relever, celui de la clarification des responsabilités du sous-traitant d’un traitement de données et de ses relations avec le responsable de traitement. Avec le RGPD, le sous-traitant ne peut plus se retrancher derrière son statut pour se défausser de toute responsabilité[42]. Il doit activement participer à ce que le traitement de données opéré le soit de manière conforme[43]. Ainsi, tout comme sous l’égide de la directive de 1995[44], les relations entre responsable du traitement et sous-traitant doivent donc être clarifiées par le moyen d’un acte juridique, mais le RGPD est bien plus précis et exigeant sur le contenu de cet acte[45]. De même, le sous-traitant doit signaler toute violation de donnée au responsable du traitement[46]. Il faut également souligner le fait que les responsables de traitements ne peuvent recourir aux services d’un sous-traitant si ce dernier n’est pas en mesure de démontrer que ses activités sont conformes au RGPD[47]. Les incertitudes qui pouvaient planer à la lecture de la directive de 1995 quant aux relations entre responsable du traitement et sous-traitant sont aujourd’hui considérablement réduites par le niveau de détail proposé par le texte. Il conviendra tout de même que la pratique des acteurs du traitement de données, les lignes directrices développées par les autorités de contrôle et le juge viennent pleinement cristalliser les différentes interprétations possibles des dispositions du RGPD.

Au-delà de la dynamique de responsabilisation des acteurs du traitement de données induite par le RGPD, le texte vient également réorganiser et renforcer le rôle des autorités nationales de contrôle telles que la CNIL en France.

B. Un renforcement des prérogatives des autorités de contrôle.

Symbole de cette montée en puissance des autorités de contrôle, le montant des sanctions administratives pouvant être prononcé en cas de violation du RGPD est sans commune mesure avec ce que prévoyait la directive de 1995. Cette dernière était d’ailleurs très vague à ce sujet et laissait une grande marge de manœuvre aux États membres[48]. En France, il fallait donc se référer aux dispositions de la loi informatique et libertés[49]. Le plafond des sanctions administratives pouvant alors être adressées par la CNIL en cas de violation de la loi était de 300 000 €. Avec le RGPD, les autorités de contrôle peuvent désormais infliger des amendes jusqu’à 20 000 000 € ou 4 % du chiffre d’affaires annuel mondial d’une entreprise[50] pour les infractions les plus graves[51]. Ce niveau de sanction rapproche ainsi le droit de la protection des données à caractère personnel du droit de la concurrence où la Commission européenne est habilitée à prononcer des amendes d’un ordre de grandeur similaire[52].

Au-delà de ce pouvoir de sanction renforcé, le RGPD s’inscrit pleinement dans la continuité de la directive 95/46/CE. Les autres pouvoirs conférés aux autorités de contrôle sont réaffirmés tels que les pouvoirs d’investigation, d’intervention ou encore la capacité d’ester en justice[53]. Avec l’article 58, le RGPD est toutefois plus précis sur l’étendue de ces pouvoirs. Il présente un véritable spectre à la disposition des autorités de contrôle allant du simple avertissement quant à une possible violation du texte[54], jusqu’à l’amende administrative[55] détaillée plus haut.

Il est également à noter qu’avec le RGPD, les autorités de contrôle sont désormais chargées du contrôle des certifications[56]. Si ces mécanismes témoignent d’un certain « commencement de conformité », ils ne valent toutefois pas preuve de conformité au RGPD pour l’organisme certifié[57]. Ainsi, l’autorité de contrôle est tout à fait en mesure de venir retirer une certification en cas de violation de la législation en matière de protection des données[58]. Le RGPD prévoit également la possibilité de mettre en place une sorte de système décentralisé des certifications. Il est ainsi possible pour des organismes d’obtenir d’une autorité de contrôle une certification afin de devenir eux-mêmes organismes certificateurs[59]. Ceci ne remet pas en cause la place de l’autorité de contrôle, cette dernière pouvant à tout moment retirer la certification accordée à un organisme certificateur et pouvant également demander à un organisme certificateur de supprimer une certification accordée à une entreprise ou un acteur qui aurait été certifié[60]. Le système permet donc à la CNIL et aux autres autorités de contrôle de compter sur le soutien complémentaire d’organismes certificateurs sans pour autant être dépossédées de cette mission. Ceci permettra probablement de précieux gains financiers et humains permettant aux autorités de contrôle de se consacrer à d’autres missions dans le cadre du RGPD.

La filiation entre RGPD et directive de 1995 est donc une évidence. On retrouve également un lien de parenté avec la Convention 108 du Conseil de l’Europe et les lois suédoise, allemande et française adoptées en matière de protection des données dans les années 70. Le RGPD, sans révolutionner le droit de la protection des données à caractère personnel apporte sa pierre à l’édifice en franchissant une nouvelle étape pour la garantie de ce droit fondamental. Mais en dépit de ces nombreuses avancées, ne perdons pas de vue que la meilleure façon de protéger ses données à caractère personnel reste encore de ne pas (trop) les divulguer.

Notes de bas de page

  • Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. 
  • Résolution (73) 22 du Comité des ministres du Conseil de l'Europe, du 26 septembre 1973, relative à la protection de la vie privée des personnes physiques vis-à-vis des banques de données électroniques dans le secteur privé, et résolution (74) 29 du Conseil de l'Europe, du 20 septembre 1974, relative à la protection de la vie privée des personnes physiques vis-à-vis des banques de données électroniques dans le secteur public. Le Conseil de l’Europe adopte le 28 janvier 1981 la Convention pour la protection des personnes physiques à l’égard du traitement automatisé des données à caractère personnel (dite « Convention 108 » et entrée en vigueur le 1er octobre 1985.
  •  Art. 100A TCE (version consolidée de Maastricht) : Par dérogation à l'article 94 et sauf si le présent traité en dispose autrement, les dispositions suivantes s'appliquent pour la réalisation des objectifs énoncés à l'article 14. Le Conseil, statuant conformément à la procédure visée à l'article 251 et après consultation du Comité économique et social, arrête les mesures relatives au rapprochement des dispositions législatives, réglementaires et administratives des États membres qui ont pour objet l'établissement et le fonctionnement du marché intérieur.
  • Article 251 TCE, aujourd’hui article 114 TUE prévoyant l’utilisation de la procédure législative ordinaire.
  • Directive 95/46/CE, considérant 2.
  • Directive 95/46/CE, considérant 9.
  • Loi SFS 1973-289 sur l’informatique, du 11 mai 1973.
  • Loi portant protection contre l’emploi abusif des données d’identification personnelle dans le cadre du traitement des données, du 27 janvier 1977.
  • Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. 
  • Orientations politiques du président Juncker présentées lors du discours d’ouverture de la session plénière du Parlement européen, le 15 juillet 2014 à Strasbourg.
  • Ibid.
  • Dit « règlement général sur la protection des données » (RGPD).
  • Directive traitant des questions de protection des données à caractère personnel pour ce qui relève de l’ELSJ.
  • Dite « directive PNR ».
  • 173 considérants et 99 articles pour le RGPD contre 72 considérants et 34 articles dans la directive 95/46/CE.
  • Art. 288 al. 2 TFUE.
  • Art. 288 al. 3 TFUE.
  • CJCE, 14 décembre 1971, Politi s.a.s. contre ministère des finances de la République italienne, aff. C-43/71, pt. 9.
  • « Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE n'a pas permis d'éviter une fragmentation de la mise en œuvre de la protection des données dans l'Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l'environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l'égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l'ensemble de l'Union. Ces différences peuvent dès lors constituer un obstacle à l'exercice des activités économiques au niveau de l'Union, fausser la concurrence et empêcher les autorités de s'acquitter des obligations qui leur incombent en vertu du droit de l'Union. Ces différences dans le niveau de protection résultent de l'existence de divergences dans la mise en œuvre et l'application de la directive 95/46/CE ».
  • JOISSAINS Sophie, Rapport du Sénat fait au nom de la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d’administration générale sur le projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, relatif à la protection des données personnelles, n° 350, p. 231 à 234.
  • Voir visa premier et considérant premier pour l’art. 16 du TFUE.
  • Voir considérant premier pour l’art. 8 de la Charte.
  • Art. 20 et considérant 68 du RGPD.
  • Art. 20 § 1er du RGPD.
  • Art. 8 du RGPD.
  • Art. 45 al. 1er de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée.
  • Ibid. Art. 45 al. 2.
  • L’art. 6 du RGPD prévoit six hypothèses, au premier rang desquelles on retrouve le consentement, permettant de considérer un traitement comme licite. Par ailleurs, parmi ces six hypothèses, seul le consentement fait l’objet d’un article particulier au sein du RGPD, à savoir l’article 7.
  • Art. 80 du RGPD.
  • Droit d’accès : art. 12 de la directive 95/46/CE ; droit d’opposition : art. 14 ; droit d’information : art. 10 et 11.
  • Sur le droit à l’effacement ou droit à « l’oubli », voir CJUE, gr. Ch., 13 mai 2014, Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos et Mario Costeja González, aff. C-131/12.
  • Art. 24 du RGPD : « […] le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ».
  • Art. 42 du RGPD.
  • Art. 40 du RGPD. À noter que la directive 95/46/CE encourageait elle aussi en son art. 27 la rédaction de tels codes de conduite.
  • Art. 24 § 3 du RGPD : « L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou de mécanismes de certification approuvés comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement ».
  • Voir art. 18 de la directive 95/46/CE : « Les États membres prévoient que le responsable du traitement […] doit adresser une notification à l’autorité de contrôle […] préalablement à la mise en œuvre d’un traitement entièrement ou partiellement automatisé ou d’un ensemble de tels traitements ayant une même finalité ou des finalités liées. […] »
  • Voir art. 20 de la directive 95/46/CE.
  • Selon la lettre de l’art. 35 § 3 du RGPD, c’est notamment le cas – mais de manière non exhaustive – pour « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondé sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire » ; pour « le traitement à grande échelle de données de catégories particulières de données visées à l’article 9 ; paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 » ; ou « la surveillance systématique à grande échelle d’une zone accessible au public ».
  • Art. 36 du RGPD.
  • Art. 58 § 2 du RGPD.
  • Art. 33 du RGPD.
  • La désignation d’un délégué à la protection des données est parfois rendue obligatoire. Voir art. 37 § 1er du RGPD.
  • Voir art. 22 III. de la loi du 6 janvier 1978 dans sa version modifiée du 6 août 2004. À noter que la loi française ne rendait pas obligatoire la désignation d’un tel correspondant informatique et libertés mais qu’elle offrait un certain nombre de facilités afin de respecter la législation en matière de protection des données.
  • Le sous-traitant doit à titre d’exemple lui aussi coopérer avec l’autorité de contrôle (art. 31 du RGPD), assurer la sécurisation des données collectées (art. 32 du RGPD) …
  • Art. 28 § du RGPD.
  • Art. 17 § 3 de la directive 95/46/CE.
  • Art. 28 § 3 du RGPD.
  • Art. 33 du RGPD.
  • Art. 28 § 1er du RGPD.
  • Art. 24 de la directive 95/46/CE : « Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive ».
  • Art. 47 de la loi du 6 janvier 1978 sans sa version modifiée du 6 août 2004.
  • Voir art. 83 du RGPD. C’est la somme la plus élevée des deux qui fait office de plafond.
  • Voir art. 83 § 5 et 6 du RGPD. De telles sanctions peuvent concerner la violation des principes de base d’un traitement (principes de licéité, de loyauté, de transparence, de minimisation des données collectées, de limitation des finalités …), la violation des droits des personnes concernées par le traitement (droit d’accès, de rectification, d’opposition …) ou encore le traitement non autorisé de catégories particulières de données (origine ethnique, opinions politiques, orientation sexuelle …)
  • Voir art. 14 et 15 du règlement (CE) n° 139/2004 du Conseil du 20 janvier 2004 relatif au contrôle des concentrations entre entreprises.
  • Voir art. 28 § 3 de la directive 95/46/CE.
  • Art. 58 § 2 a) du RGPD.
  • Art. 58 § 2 i) du RGPD.
  • Art. 42 § 5 du RGPD.
  • Art. 42 § 4 du RGPD.
  • Art. 58 § 2 h) du RGPD.
  • Art. 43 du RGPD.
  • Art. 58 § 2 h) du RGPD.