07 69 33 80 05 contact@avocat-koc.com

RGPD et Algorithmes, par Me. Koc

Champ d’application du RGPD

Champ d’application matériel : Le règlement s’applique : ⇒ Au traitement des données personnelles automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données personnelles contenues ou appelées à figurer dans un fichier, ⇒ aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données personnelles. Il ne couvre pas les traitements des données personnelles qui concernent les personnes morales, y compris le nom, la forme juridique et les coordonnées de la personne morale. Champ d’application territorial : Le règlement s’applique dès lors que : ⇒ le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ⇒ ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler » (en anglais monitor). En pratique, le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet. ⇒ le règlement étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement. Les entreprises seront en contact avec un « guichet unique », à savoir l’autorité de protection des données de l’État membre où se trouve leur « établissement principal », désignée comme l’autorité « chef de file ». Cet établissement sera soit le lieu de leur siège central dans l’Union, soit l’établissement au sein duquel seront prises les décisions relatives aux finalités et aux modalités du traitement. Toutefois, dès lors qu’un traitement sera transnational – donc qu’il concernera les citoyens de plusieurs États membres –, les autorités de protection des données des différents États concernées seront juridiquement compétentes pour s’assurer de la conformité des traitements de données mis en œuvre.

OBJECTIFS DU RGPD

Le RGPD renforce les droits des personnes (1) et responsabilise les acteurs économiques (2) en alourdissant, les sanctions (3). 1 – Vers un renforcement des droits des personnes Le règlement européen renforce les droits des personnes et facilite l’exercice de ceux-ci.

  • Consentement renforcé et transparence
  • De nouveaux droits

1/ Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée. 2/ Introduction du principe des actions collectives : les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données auront la possibilité d’introduire des recours collectifs en matière de protection des données personnelles. 3/ Un droit à réparation des dommages matériel ou moral : Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. 2 – Vers une responsabilisation des acteurs économiques via une logique de conformité : ⇒ a) La protection des données dès la conception et par défaut (privacy by design) Les responsables de traitements devront mettre en œuvre toutes les mesures nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. Concrètement, ils devront veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »). ⇒ b) Un allègement des formalités administratives et une responsabilisation des acteurs Afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability). La conséquence de cette responsabilisation des acteurs est la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes. Quant aux traitements soumis actuellement à autorisation, le régime d’autorisation pourra être maintenu par le droit national (par exemple en matière de santé) ou sera remplacé par une nouvelle procédure centrée sur l’étude d’impact sur la vie privée. ⇒ c) De nouveaux outils pour la mise en conformité : • la tenue d’un registre des traitements mis en œuvre • la notification de failles de sécurité (aux autorités et personnes concernées) • la certification de traitements • l’adhésion à des codes de conduites • le DPO (délégué à la protection des données) • les études d’impact sur la vie privée (EIVP) Les « études d’impact sur la vie privée » (EIVP ou PIA) Pour tous les traitements à risque, le responsable de traitement devra conduire une étude d’impact complète, faisant apparaître : – les caractéristiques du traitement, – les risques et les mesures adoptées. ⇒ D) Le Délégué à la Protection des données (Data Protection Officer) Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué : • s’ils appartiennent au secteur public, • si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle, • si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions. Le délégué est chargé : • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ; • de contrôler le respect du règlement européen et du droit national en matière de protection des données ; • de conseiller l’organisme sur la réalisation d’une analyse d’impact (PIA) et d’en vérifier l’exécution ; • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

SANCTIONS EN CAS DE MANQUEMENT

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement. Les autorités de protection peuvent notamment : • Prononcer un avertissement ; • Mettre en demeure l’entreprise ; • Limiter temporairement ou définitivement un traitement ; • Suspendre les flux de données ; • Ordonner de satisfaire aux demandes d’exercice des droits des personnes ; • Ordonner la rectification, la limitation ou l’effacement des données. S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

{

Feedback

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum.

– Paul James | Designer

About Us

Duis semper mauris vitae purus rhoncus suscipit. Nunc dictum dapibus tellus, at viverra risus pharetra id. Nulla facilisi. Ut mollis et augue non gravida. Sed ipsum urna, venenatis ut vehicula nec, ultrices quis sapien.

Contact Us

Testadress, Street 1 , 12346

mail@company.com

049 (0) 1324 649

Links

HOME PAGES SERVICES ABOUT US