Règlement général sur la protection des données






Règlement général sur la protection des données




































Présentation
Titre
Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
Référence
2016/679
Organisation internationale
Drapeau de l’Union européenne Union européenne
Territoire d'application
États membres de l'Union européenne
Type
Règlement de l'Union européenne
Branche
Droit de l'Union européenne, Droit de l'informatique
























Adoption et entrée en vigueur
Adoption
14 avril 2016
Promulgation
27 avril 2016
Entrée en vigueur
24 mai 2016 et applicable à partir du 25 mai 2018

Lire en ligne



Règlement général sur la protection des données (sur Eur-lex)




Le règlement no 2016/679, dit règlement général sur la protection des données (RGPD, ou encore GDPR, de l'anglais General Data Protection Regulation), est un règlement de l'Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel[1]. Il renforce et unifie la protection des données pour les individus au sein de l'Union européenne.


Après quatre années de négociations législatives, ce règlement a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions sont directement applicables dans l'ensemble des 28 États membres de l'Union européenne à compter du 25 mai 2018.


Ce règlement remplace la directive sur la protection des données personnelles adoptée en 1995 (article 94 du règlement) ; contrairement aux directives, les règlements n'impliquent pas que les États membres adoptent une loi de transposition pour être applicables[2].


Les principaux objectifs du RGPD sont d'accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l'augmentation du pouvoir des autorités de régulation[3].




Sommaire






  • 1 Contexte


  • 2 Principales dispositions


  • 3 Application


    • 3.1 Transposition


    • 3.2 Mise en oeuvre




  • 4 Sanctions


    • 4.1 Sanctions administratives


    • 4.2 Sanctions pénales


    • 4.3 Dommages et intérêts et déficit d'image




  • 5 Critiques


  • 6 Sources


    • 6.1 Références


    • 6.2 Bibliographie




  • 7 Compléments


    • 7.1 Articles connexes


    • 7.2 Liens externes







Contexte |


En janvier 2012, la Commission européenne a proposé une réforme globale des règles en matière de protection des données personnelles dans l’Union européenne. Cette réforme comporte deux volets :



  • la mise à jour et la modernisation des principes énoncés dans la directive européenne de 1995 sur la protection des données, sous la forme de ce règlement général sur la protection des données[1] ;

  • la rédaction d'une nouvelle Directive relative à la protection des données à caractère personnel dans le cadre des activités policières et judiciaires[4].


L’objectif de ce nouveau règlement est de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises »[1].


Le Parlement européen a modifié ce règlement et l'a adopté le 12 mars 2014 en 1re lecture[5]. Les négociations se sont poursuivies entre les délégations de la Commission européenne, du Parlement européen et du Conseil de l'Union européenne et ont pris fin le 15 décembre 2015. Le projet de règlement a été voté en Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) le 17 décembre 2015[6],[7]. La France a transposé le règlement dans une loi adoptée le 14 mai 2018[8]


Le règlement européen a été publié le 4 mai 2016 dans le Journal officiel de l'Union européenne et entre en vigueur le vingtième jour suivant celui de sa publication[9].


Ce règlement, applicable à partir du 25 mai 2018, est « obligatoire dans tous ses éléments et directement applicable dans tout État membre »[10]. Le scandale Facebook-Cambridge Analytica, autour de la récupération et de l'analyse de données à des fins électorales, éclate peu de temps avant sa mise en application.



Principales dispositions |


Le règlement contient des confirmations ou des évolutions, avec des principes clés, tels que[11] :


































































Principales dispositions du règlement
Principe clé et article
Description
Le cadre harmonisé
Il y a désormais un seul ensemble de règles relatives à la protection des données, directement applicable dans tous les États membres de l'Union européenne, atténuant ainsi la fragmentation actuelle des lois nationales de protection des données.
L'application extra-territoriale (article 3)
Le règlement s'applique aux entreprises établies en dehors de l'Union européenne qui traitent les données relatives aux activités des organisations de l'UE. Les sociétés non européennes sont également soumises au règlement dès qu'elles ciblent les résidents de l'UE par le profilage ou proposent des biens et services à des résidents européens.
Le consentement « explicite » et « positif »
Les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées, notamment via l'acceptation des cookies sur les sites internet et sur le contrôle de l'utilisation qui est faite des données que les internautes envoient dans les formulaires de contact. Par exemple, il n'est plus possible que la case "j'accepte de recevoir la newsletter" soit pré-cochée lors de l'envoi d'un formulaire de contact dans lequel l'e-mail est renseigné.
Le droit à l’effacement (version allégée du droit à l'oubli) (article 17)
La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs.[12]
Le droit à la portabilité des données personnelles (article 20)
Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.
Le profilage (article 22)
Toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.
Les principes de « protection des données dès la conception » et de « sécurité par défaut » (article 25)
Le règlement européen définit le principe de « protection des données dès la conception » (en anglais : Privacy by design) qui impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel[13]. De plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé[13].
Les notifications en cas de fuite de données (article 33)
Les entreprises et les organismes sont tenus de notifier dès que possible l'autorité nationale de protection en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées.
La possibilité de désigner un délégué à la protection des données[14](article 37-1)
Cette nomination est obligatoire lorsque :

  • « le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle » (art. 37-1.a) ;

  • « les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées » (art. 37-1.b) ;

  • « les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. » (art. 37-1.c) Sont ainsi visées les données « sensibles » dont notamment celles relatives à l'état de santé des personnes, leur état de fragilité, ou encore les données à caractère personnel relatives aux infractions et condamnations.


Les missions du délégué à la protection des données
Le délégué à la protection des données doit être associé à toutes les questions de protection des données à caractère personnel. Ses principales missions sont de contrôler le respect du règlement, de conseiller le responsable des traitements sur son application et de faire office de point de contact avec l'autorité de contrôle, de répondre aux sollicitations de personnes qui souhaitent exercer leurs droits.
L'étude d'impact sur la vie privée (article 35)
Toutes les activités qui peuvent avoir des conséquences importantes en matière de protection de données personnelles doivent être précédées d’une étude d’impact sur la vie privée qui doit aussi prévoir les mesures pour diminuer les conséquences possibles des dommages potentiels relatifs la protection des données personnelles. Le délégué à la protection des données doit consulter l’autorité de contrôle avant de mettre en œuvre les activités en question.
Les sanctions plus importantes (article 83-6)
Le règlement donne aux régulateurs le pouvoir d'infliger des sanctions financières allant jusqu'à 4 % du chiffre d'affaires mondial annuel d'une entreprise ou 20 millions d'euros (le montant le plus élevé étant retenu), en cas de non-respect.
La création du Comité européen de la protection des données (articles 68 et suivants)
La création du Comité européen de la protection des données (réincarnation de l'ancien article 29 Working Party) qui a autorité dans tout ce qui concerne l’interprétation du Règlement.
L'élaboration de codes de conduite (article 40)
L'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement est encouragée.


Application |



Transposition |


Etant une réglementation européenne, le RGPD est obligatoirement applicable à l’ensemble de l'Union européenne. Il n'est pas nécessaire de transposer cette réglementation dans le droit national pour la rendre applicable. Le Contrôleur européen de la protection des données (CEPD)[1] a été créé afin de permettre une coordination des actions des autorités de contrôle nationales de chaque pays européen et de veiller à la protection des données à caractère personnel.


Toutefois certains pays ont décidé d’adapter ce règlement dans le droit interne. Prenons l'exemple de la France, cette dernière a adapté en droit interne le RGPD par la loi du 20 juin 2018 relative à la protection des données personnelles[15]. Cette disposition vise à moderniser le droit français qui entrait en partie en contradiction avec certains articles du RGPD [16] Par ailleurs, cette loi donne à la CNIL des missions supplémentaires et un pouvoir de contrôle et de sanction accrue en matière de protection des données[17].



Mise en oeuvre |


Les organisations doivent pouvoir garantir et prouver leur conformité en matière de protection des données personnelles. Pour les guider, la CNIL conseille six étapes[18] afin de faire face à cette responsabilité accrue :


































Six étapes pour s'adapter au RGPD selon la CNIL
Etape
Détail
Etape 1 : Nommer un délégué à la protection des données
Disposer d'un pilote est indispensable pour gérer les données personnelles de d'une entreprise. Celui-ci est chargé d'un rôle d'information, de conseil et de contrôle interne.
Etape 2 : Recenser les traitements des données
Un registre des traitements des données personnelles est une documentation qui permet de faire le bilan sur l'effet du règlement.
Etape 3 : Définir les actions correctives
Afin de respecter les règles en matière de droits et libertés personnels, il est nécessaire de déterminer quelles sont les actions prioritaires à mettre en oeuvre. La priorisation est déterminée en fonction du niveau de risque et grâce au registre des traitements.
Etape 4 : Analyser les risques
Il convient de gérer au mieux les risques pouvant avoir des conséquences sur la sécurité des données.
Etape 5 : Établir des procédures internes
Les procédures internes permettent de constamment assurer la protection des données personnelles. Il faut ici anticiper les événements éventuels pouvant impacter les traitements en cours.
Etape 6 : Tenir une documentation
La documentation permet de justifier la conformité d'une entreprise au règlement. Il est également essentiel de fréquemment reconsidérer et ajuster les actions et documents afin de garantir une protection des données durable.

Une enquête menée par Harvey Nash et KPMG montre que les entreprises mondiales ne placent pas la mise en conformité au RGPD dans leur priorité. Il y aurait 38 % des entreprises mondiales qui ont répondu à l'enquête qui admettent qu'elles ne respecteraient probablement pas l'ensemble des dispositions du RGPD pour sa date d'entrée en vigueur le 25 mai 2018 bien qu'elles aient eu deux ans pour s'y préparer[19]. Les investissements des entreprises mondiales sont plutôt dirigés vers la cybersécurité à cause d'une augmentation des cyberattaques. D'autre part, la conformité au RGPD tend à se compliquer face à une pénurie de personnel compétent dans le domaine du Big Data.


Les particuliers ont connaissance de leurs nouveaux droits ce qui se traduit par une augmentation du nombre de plaintes suite à l'entrée en vigueur du RGPD. Le principal recours à la plainte porte sur le consentement du traitement des données personnelles[20]. L'association la Quadrature du Net qui est une association de défense des libertés des citoyens sur internet, a déposé une plainte collective contre les GAFA[21]. De la même manière, l'ONG none of your bussiness (NOYB) à également eu recours à la plainte contre des acteurs dominant le marché des réseaux sociaux tels qu'Instagram et WhatsApp dès le 25 mai 2018 afin "d'exiger un consentement libre pour rejeter l'idée d'une marchandisation de nos données personnelles"[22].


Plusieurs mois après l'entrée en application du RGPD, certains sites restent délibérément inaccessibles aux adresses IP en provenance de l'Union européenne ; c'est le cas d'un millier de sites d'information américains, et d'approximativement un tiers des 100 plus importants d'entre eux[23]. La responsabilité de ce blocage incombe aux sites eux-mêmes, selon les uns, ou à la réglementation européenne, selon les autres[24]. C'est le cas des journaux en langue anglaise du groupe de presse Tronc (Chicago Tribune, Los Angeles Times...) (États-Unis) et du site en langue française du Journal de Montréal (Québec, Canada).



Sanctions |


En cas de non-respect du RGPD, plusieurs sanctions peuvent être appliquées aux entreprises. L'article 58[25] du RGPD, donne à la CNIL le pouvoir de mettre en place des moyens dissuasifs afin de lutter contre les défauts de conformités se référant aux dispositions du RGPD. Les sanctions entrainées par la CNIL sont dites graduelles car elles dépendront de la gravité des actions constatées et qui sont contraires au RGPD. Ces sanctions s'établissent en plusieurs étapes[26] :



  • Étape 1 : Avertissement ou mise en demeure de l'entreprise accompagné d'un rappel des règles concernant la mise en conformité ;

  • Étape 2 : Injonction, ordre de cession immédiate des violations constatées ;

  • Étape 3 : Limitation ou suspension temporaire des traitements ou des flux de données ;

  • Étape 4 : Sanctions administratives pour les entreprises qui n'ont pas respecté l'injonction.


Le RGPD prévoit néanmoins 2 sanctions si les entreprises ou les organismes privés violent une des nouvelles normes du règlement. Ces sanctions ont surtout un but dissuasif du fait de leurs montants très élevés. L'analyse de la nature, la durée ainsi que de la gravité de la violation permettent de qualifier la sanction administrative qui sera applicable.


La première sanction concerne une amende administrative pouvant atteindre 10 000 000€ ou pour une entreprise, jusqu'à 2% de son chiffre d'affaires annuel mondial total de son exercice précédent. Le montant retenu concerne toujours le montant de la sanction le plus élevé. L'amende administrative est appliquée lorsque les manquements aux obligations du RGPD sont de nature suivante[27] :



  • obligations incombant au responsable du traitement et au sous-traitant ;

  • obligations incombant à l'organisme de certification ;

  • obligations incombant à l'organisme chargé du suivi des codes de conduite.


En cas d'infraction plus importante et liée au non-respect du RDPG, l'amende administrative pouvant être appliquée peut atteindre jusqu'à 20 000 000€ ou dans le cas d'une entreprise, l'amende correspond à 4% du chiffre d'affaires mondial (le montant le plus important sera là aussi retenu).



Sanctions administratives |


L'article 83[28] du RGPD, liste les conditions qui permettent à la CNIL d'appliquer une sanction administrative aux entreprises ou organismes qui auraient violé une des réglementations du règlement. La CNIL doit veiller à ce que les amendes qui seront imposés soient « effectives, proportionnées et dissuasives ».


L'une des premières amendes administratives peut atteindre jusqu'à 10 000 000€ ou pour une entreprise, jusqu'à 2% de son chiffre d'affaires annuel mondial total de l'exercice précédent. Le montant retenu concerne toujours le montant de la sanction le plus élevé. Cette amende administrative est appliquée lorsque les manquements aux obligations du RGPD sont de nature suivante[27] :



  • obligations incombant au responsable du traitement et au sous-traitant ;

  • obligations incombant à l'organisme de certification ;

  • obligations incombant à l'organisme chargé du suivi des codes de conduite ;


En cas d'infractions plus importante et liée au non-respect du RDPG, l'amende administrative pouvant être appliquée peut atteindre jusqu'à 20 000 000€ ou dans le cas d'une entreprise, l'amende correspond à 4% du chiffre d'affaires mondiale (le montant le plus important sera là aussi retenu). Les violations doivent concerner les dispositions suivantes de l'article 83[29] du RGPD (paragraphe 5) :



  • les principes de base d'un traitement, y compris les conditions applicables au consentement ;

  • les droits dont bénéficient les personnes concernées ;

  • toutes les obligations découlant du droit des États membres adoptées ;

  • le non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l'autorité de contrôle en vertu de l'article 58.


La première amende concerne un hôpital portugais qui a reçu une amende d'un montant de 400 000 euros en raison de sa politique d'accès aux informations personnelles des patients. L'hôpital violerait les principes d'intégrité et de confidentialité des données et le principe de limitation d'accès des données du RGPD puisque les habilitations d'accès aux dossiers médicaux étaient données à plus de personne qu'il n'y a de personnel[30].


Un réseau social allemand Knuddels a été condamné par l'autorité allemande de protection de données (la Baden-Württemberg Data Protection Authority) à une amende d'un montant de 20 000 euros suite à une fuite de plus de 2,6 millions de données de ses utilisateurs. Le montant de l'amende a été limité du fait de la transparence du réseau social et sa rapidité pour mettre à jour la sécurité du réseau social[31].



Sanctions pénales |


L'article 84[32] du RGPD prévoit également aux États membres de mettre en place des sanctions pénales, afin de compléter le RGPD. Chaque État avait jusqu'au 25 mai 2018, pour notifier la Commission des dispositions légales qu'ils appliqueraient.


En France, selon l'Article 226-16 du Code pénal[33], les sanctions pénales applicables peuvent atteindre jusqu'à 300 000€ d'amende et entrainer jusqu'à 5 ans d'emprisonnement.



Dommages et intérêts et déficit d'image |


D'autres sanctions supplémentaires peuvent être appliquées aux sanctions administratives et pénales, en cas de violation à l'une des dispositions du RGPD. En effet, toute personne lésée par le comportement des responsables ainsi que par le traitement des données non conforme au RGPD à la possibilité de porter plainte contre l'organisme en faute[34]. Cette action en justice peut entraîner le versement de dommages et intérêts.


Par ailleurs, le non-respect du RGPD peut impacter l'image et la réputation des entreprises ou organisations fautives[35].



Critiques |


La mise en œuvre du règlement général sur la protection des données a causé un bouleversement dans beaucoup d'entreprises, en premier lieu les grandes entreprises travaillant directement ou indirectement dans le secteur de la donnée. Qu'il s'agisse des GAFA, des entreprises du secteur publicitaire pour qui l'utilisation des données personnelles est une part essentielle de leur travail, du secteur publique, ou encore des PME qui doivent gérer les données personnelles de leurs salariés. Si certaines entreprises comme Apple se disent en accord avec le RGPD (mise en œuvre d'un bouton bleu qui montre à l'utilisateur quand Apple[36] utilise ses données, ainsi que des options « supprimer mes données personnelles/supprimer mon compte » sur leur site en ligne), d'autres comme Facebook[37] pourraient recevoir de lourdes amendes en raison de failles évidentes dans la protection des données de leurs utilisateurs.


D'autres acteurs, comme l'Observatoire et forum EU Blockchain[38], ont mis en garde les institutions européennes sur les oppositions qui existent entre le RGPD et la Blockchain. En effet, la technologie utilisée pour la première fois par Satoshi Nakamoto (créateur du Bitcoin), implique que les données composants ces chaines puissent être modifiées, mais infalsifiables et non supprimables lorsque le RGPD évoque un droit à l'oubli, au droit à la suppression de nos données personnelles. Il y a donc de fait, une incompatibilité entre la technologie Blockchain qui ne cesse d'être utilisée, et le règlement général sur la protection des données passé en mai 2018.


À l'échelle mondiale, certains voient le RGPD comme une perte de compétitivité des entreprises européennes. En effet, celles-ci doivent pour beaucoup investir dans la protection des données de leurs personnels, pendant qu'il n'existe aucun règlement similaire dans des pays comme les États-Unis.


Des économistes qualifient même le RGPD d'une « erreur stratégique »[39] car à l'heure du bigdata, où l'utilisation massive de données devient essentielle à l'innovation, l'Union européenne a voté un règlement de protection des données, dans le but de diminuer l'utilisation de celles-ci.



Sources |



Références |





  1. a b et cConseil européen - 11 avril 2016


  2. Pierre-Antoine Rizk, « Le RGPD va-t-il ralentir l’Union européenne en matière d’intelligence artificielle ? - Actu IA », Actu IA,‎ 15 mars 2018(lire en ligne)


  3. « Le développement de l’intelligence artificielle limité par le RGPD », Le droit et l'intelligence artificielle,‎ 24 novembre 2017(lire en ligne)


  4. Conseil européen - 2016


  5. Adoption du règlement


  6. Cécile Ducourtieux et Sarah Belouezzane, « Accord de principe de l’UE sur la protection des données personnelles en ligne », Le Monde,‎ 16 décembre 2016(lire en ligne)


  7. Amaelle Guiton, « L'Europe s'accorde sur la protection des données personnelles », Libération,‎ 17 décembre 2016(lire en ligne)


  8. Adoption du projet de loi (site de l'Assemblée Nationale).


  9. Isabelle Cantero, « Règlement européen sur la protection des données personnelles : un texte unique… mais non isolé », L'Usine digitale,‎ 6 mai 2016(lire en ligne)


  10. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE), 4 mai 2016(lire en ligne)


  11. « De nouvelles règles sur la protection des données placent les citoyens aux commandes », Parlement européen, 15 décembre 2015


  12. « CHAPITRE III - Droits de la personne concernée | CNIL », sur www.cnil.fr (consulté le 18 mai 2018)


  13. a et bAlain Bensoussan, « Adoption du Paquet « Protection des données à caractère personnel » », Le Figaro,‎ 15 avril 2016(lire en ligne)


  14. « Devenir délégué à la protection des données personnelles », sur cnil.fr, CNIL


  15. Loi du 20 juin 2018 relative à la protection des données personnelles


  16. « GDPR et droit français : une ordonnance tardive et limitée en préparation », sur www.cio-online.com (consulté le 25 novembre 2018)


  17. « Description du Règlement général sur la protection des données », Droit.fr - Référence juridique,‎ 22 juin 2018(lire en ligne)


  18. « RGPD : se préparer en 6 étapes | CNIL », sur www.cnil.fr (consulté le 28 novembre 2018)


  19. Byron Connolly, « 38% des entreprises mondiales toujours pas conformes à RGPD - Le Monde Informatique », LeMondeInformatique,‎ 6 juin 2018(lire en ligne)


  20. Bertrand Lemaire, « La CNIL tire un premier bilan de l'application du RGPD - Le Monde Informatique », LeMondeInformatique,‎ 26 septembre 2018(lire en ligne)


  21. Sylvain Rolland, « RGPD : Facebook cerné par plusieurs plaintes et actions en justice en Europe », La Tribune,‎ 9 novembre 2018(lire en ligne)


  22. Nicolas Certes, « RGPD : La Quadrature du Net dépose 5 plaintes contre les Gafa - Le Monde Informatique », LeMondeInformatique,‎ 30 mai 2018(lire en ligne)


  23. (en) « More than 1,000 U.S. news sites are still unavailable in Europe, two months after GDPR took effect », Nieman Lab,‎ 7 aout 2018(lire en ligne)


  24. « RGPD : des sites américains claquent la porte au nez des internautes européens », L'Obs,‎ 28 mai 2018(lire en ligne)


  25. « CHAPITRE VI - Autorités de contrôle indépendantes | CNIL », sur www.cnil.fr (consulté le 28 novembre 2018)


  26. « RGPD # 3 : quelles sanctions en cas de non-conformité ? - Mag des compétences - Comundi », ComundiActu Mag des compétences,‎ 30 avril 2018(lire en ligne)


  27. a et b« CHAPITRE VIII - Voies de recours, responsabilité et sanctions | CNIL », sur www.cnil.fr (consulté le 29 novembre 2018)


  28. « CHAPITRE VIII - Voies de recours, responsabilité et sanctions | CNIL », sur www.cnil.fr (consulté le 28 novembre 2018)


  29. « CHAPITRE VIII - Voies de recours, responsabilité et sanctions | CNIL », sur www.cnil.fr (consulté le 29 novembre 2018)


  30. « Première amende RGPD pour un hôpital portugais », sur www.cio-online.com (consulté le 25 novembre 2018)


  31. Dominique Filippone, « RGPD : 20 000€ d'amende pour le réseau social allemand Knuddels - Le Monde Informatique », LeMondeInformatique,‎ 23 novembre 2018(lire en ligne)


  32. « CHAPITRE VIII - Voies de recours, responsabilité et sanctions | CNIL », sur www.cnil.fr (consulté le 29 novembre 2018)


  33. Code pénal - Article 226-16 (lire en ligne)


  34. « Quelles sanctions en cas de non respect du RGPD ? - LegalPlace », LegalPlace,‎ 23 mars 2018(lire en ligne)


  35. « Non-conformité au RGPD : que risque-t-on ? | YLNEO », sur www.ylneo.com (consulté le 29 novembre 2018)


  36. Philippe Rioux, « Le PDG d'Apple plaide pour la protection des données », La Dépêche,‎ 24 octobre 2018(lire en ligne)


  37. Anaïs Cherif, « Piratage : que risque Facebook avec le RGPD ? », La Tribune,‎ 1er octobre 2018(lire en ligne)


  38. Nicolas Certes, « Le RGPD, un frein à la blockchain ? - Le Monde Informatique », LeMondeInformatique,‎ 3 aout 2018(lire en ligne)


  39. La rédaction, « Vu des USA, le RGPD va coûter cher aux entreprises européennes », Le Journal Economique,‎ 12 novembre 2018(lire en ligne)




Bibliographie |




  • Conseil européen, « Le règlement général sur la protection des données », sur le site du Conseil européen, 11 avril 2016(consulté le 11 avril 2016).

  • Conseil européen, « Protection des données à caractère personnel traitées à des fins répressives », sur le site du Conseil européen, 2016(consulté le 11 avril 2016)

  • Parlement européen, « Protection des personnes physiques à l'égard du traitement des données à caractère personnel », sur le site du Parlement européen, 12 mars 2014(consulté le 12 octobre 2017)



Compléments |



Articles connexes |



  • Directive 95/46/CE sur la protection des données personnelles

  • Directive 2006/24/CE sur la conservation des données

  • Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques

  • Vie privée et informatique

  • Journée européenne de la protection des données

  • Droit à l'oubli

  • Délégué à la protection des données (Data Protection Officer)

  • Platform for Privacy Preferences



Liens externes |




  • Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Version en PDF) (Lien permanent)

  • Site du conseil européen présentant la Réforme de la protection des données


  • Comprendre le règlement européen: dossier de la CNIL sur ce sujet



  • Portail du droit Portail du droit
  • Portail de l’Union européenne Portail de l’Union européenne
  • Portail de l’informatique Portail de l’informatique



Popular posts from this blog

What visual should I use to simply compare current year value vs last year in Power BI desktop

How to ignore python UserWarning in pytest?

Alexandru Averescu