Il permet aux citoyens de l’Union européenne (UE) de mieux contrôler leurs données à caractère personnel. Il modernise et uniformise également les règles permettant aux entreprises de diminuer la bureaucratie et de profiter d’une meilleure confiance du consommateur.

Le règlement général sur la protection des données (RGPD) fait partie du paquet de réformes de l’UE sur la protection des données, et de la directive sur la protection des données dans les secteurs de la police et de la justice pénale.

POINTS CLÉS

Droits des citoyens

Le RGPD renforce les droits existants, octroie de nouveaux droits et accorde aux citoyens un meilleur contrôle sur leurs données à caractère personnel, notamment:

un meilleur accès à leurs données — y compris en fournissant plus d'informations sur la manière dont les données sont traitées et en garantissant que ces informations sont disponibles de manière claire et compréhensible;

un nouveau droit à la portabilité des données — destiné à faciliter le transfert de données à caractère personnel entre prestataires de services;

un droit d’effacement («droit à l’oubli») plus clair — lorsqu’une personne ne souhaite plus que ses données soient traitées et qu’il n’existe pas de motif légitime de les conserver, les données seront effacées;

le droit de savoir quand ses données à caractère personnel ont été piratées — les entreprises et les organisations devront informer sans délai les personnes en cas de violation grave des données. Elles devront également en informer les autorités de contrôle de la protection des données compétentes.

Règles pour les entreprises

Le RGPD est conçu pour créer des opportunités commerciales et encourager l’innovation grâce à différentes mesures, y compris:

un ensemble unique de règles européennes — une législation européenne unique pour la protection des données représenterait une économie de 2,3 milliards d’euros par an;

un délégué à la protection des données, chargé de la protection des données, sera désigné par les autorités publiques et par les entreprises qui traitent les données à grande échelle;

un guichet unique — les entreprises ne doivent traiter qu’avec une seule autorité de contrôle (dans le pays de l’UE dans lequel elles sont principalement implantées);

des règles européennes pour les entreprises non européennes — les entreprises basées en dehors de l’UE doivent appliquer les mêmes règles quand elles proposent des services ou des biens, ou suivent le comportement des personnes au sein de l’UE;

des règles propices à l’innovation — une garantie que les mesures de protection des données sont intégrées dans les produits et les services depuis les premières étapes du développement (protection des données dès la conception et par défaut);

des techniques respectueuses de la vie privée telles que la pseudonymisation (lorsque les champs d’identification dans un enregistrement de données sont remplacés par un ou plusieurs identifiants factices) et le chiffrement (lorsque les données sont codées de manière telle que seules les parties autorisées peuvent les lire);

la suppression des notifications — les nouvelles règles de protection des données supprimeront la plupart des obligations de notification et les coûts associés à ces obligations. Un des objectifs du règlement sur la protection des données consiste à supprimer les obstacles au libre flux des données à caractère personnel au sein de l’UE. Il permettra aux entreprises de se développer plus facilement;

des analyses d’impact — les entreprises devront effectuer des analyses d’impact lorsque le traitement des données peut engendrer un risque élevé pour les droits et libertés des personnes physiques;

la tenue des registres — les PME ne sont pas obligées de tenir des registres des activités de traitement, à moins que le traitement ne soit régulier ou susceptible d’engendrer un risque pour les droits et libertés de la personne dont les données sont traitées.

Réexamen

La Commission européenne doit présenter un rapport sur l’évaluation et le réexamen du présent règlement au plus tard le 25 mai 2020.

À PARTIR DE QUAND CE RÈGLEMENT S’APPLIQUERA-T-IL?

Le RGPD s’appliquera à partir du 25 mai 2018.

CONTEXTE

Pour plus d’informations, veuillez consulter:

communiqué de presse (Commission européenne);

la page internet «Réforme des règles de l’UE en matière de protection des données 2018» (Commission européenne).

DOCUMENT PRINCIPAL

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1-88)

ACTES LIÉS

Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89-131)

dernière modification 21.11.2016u paragraphe