Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Guide Juridique du RGPD (3e édition)
  3. Introduction
Extrait - Guide Juridique du RGPD (3e édition) La réglementation sur la protection des données personnelles
Extraits du livre
Guide Juridique du RGPD (3e édition) La réglementation sur la protection des données personnelles Revenir à la page d'achat du livre

Introduction

Avant-propos

Au fur et à mesure que tout se numérise, tout devient mesurable en tout. Les traceurs, les capteurs produisent en retour d’énormes masses de données dont la croissance est exponentielle. Actuellement, nous générons en une seule journée plus de données qu’il n’en a été produit entre le début de l’humanité et l’an 2000. Rappelons que, déjà en 2010, Éric Schmidt, alors CEO de Google, déclarait au Guardian Activate Summit que l’humanité avait généré, entre l’aube de la civilisation et 2003, 5 exaoctets de données, soit 5 milliards de gigaoctets, et que la même quantité était, à cette date, générée tous les deux jours.

Selon les dernières estimations (source : Statista, 2021), le volume de données créées à l’échelle mondiale a été multiplié par trente au cours de la précédente décennie, passant de 2 zettaoctets en 2010 à 64 zettaoctets en 2021. Les prévi-sions annoncent une augmentation plus rapide encore, puisque le volume de données générées dans le monde devrait dépasser 180 zettaoctets à l’horizon 2025, soit une croissance annuelle moyenne de près de 40 % sur cinq ans. Cette accélération s’explique notamment par la démocratisation croissante des objets connectés.

À l’ère du numérique, les modèles économiques fondés sur l’exploitation des « datas » et, en particulier les données personnelles, constituent un enjeu majeur pour les entreprises.

La protection des données à caractère personnel constitue l’une des dimensions du droit au respect de la vie privée....

Introduction

Assurer la sécurité juridique tout en protégeant les droits fondamentaux.

À l’ère du numérique les modèles économiques fondés sur l’exploitation des datas et, en particulier les données personnelles, se développent. Il existe ainsi de vastes marchés de la donnée pour les entreprises liées au développement de l’économie cognitive, des services cloud, du big data, de l’open data, etc. Le partage et la collecte des données connaissent une croissance spectaculaire. C’est par ce biais que les nouvelles technologies transforment aujourd’hui fortement l’économie et les rapports sociaux.

Le considérant 6 du Règlement résume exactement les raisons ayant présidé à la rédaction et à l’adoption de ce texte :

« L’évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. L’ampleur de la collecte et du partage des données à caractère personnel a augmenté de manière importante. Les technologies permettent tant aux entreprises privées qu’aux autorités publiques d’utiliser les données à caractère personnel comme jamais auparavant...

Zoom sur la loi Informatique et Libertés

Constituant l’une des dimensions du droit au respect de la vie privée, la protection des données à caractère personnel est désormais consacrée comme un droit fondamental à part entière dans la Charte des droits fondamentaux de l’Union européenne (article 8).

Les années 1970 sont marquées en France par une prise de conscience collective liée aux conséquences potentiellement néfastes du développement de l’informatique, en particulier dans les administrations.

Cette prise de conscience s’est inscrite dans le contexte d’une évolution technologique fondamentale : le passage de la mécanographie (fiches perforées) à l’informatique, c’est-à-dire le passage du fichier papier au fichier informatisé.

Le retentissant article de Philippe Boucher paru le 21 mars 1974 dans le journal Le Monde et intitulé « Safari ou la chasse aux Français » alertait l’opinion publique sur ces évolutions techniques et sur un projet qui, à partir du numéro de sécurité sociale et par une seule interrogation du fichier informatique, devait permettre à l’administration française de disposer de l’accès à l’ensemble des informations enregistrées sur une seule et même personne (sécurité sociale, fiscalité, police).

images/00-00.png

Certes, le projet fut abandonné par le gouvernement français pour être remplacé par une législation protectrice, la loi Informatique et Libertés, qui, pour veiller à son application, créa en France la première autorité administrative indépendante, la Commission Nationale de l’Informatique et des Libertés (CNIL).

Le concept de protection des données a été forgé autour d’une double préoccupation liée d’une part aux dangers potentiels de l’informatique pour les libertés publiques et d’autre part à la nécessité de définir des règles déontologiques permettant d’en maîtriser les utilisations.

Si en 1978, les enjeux de la protection des données visaient à...

Zoom sur le RGPD

Le RGPD consacre donc un nouveau mode de régulation.

Le règlement crée un cadre unifié et protecteur pour les données personnelles des Européens, applicable à l’ensemble des organismes privés et publics et de leurs sous-traitants, quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et/ou services à des personnes résidant sur le territoire de l’Union européenne. Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.

En pratique, la plupart des formalités préalables actuelles auprès de la CNIL (déclarations, autorisations) vont disparaître au profit d’une logique de conformité continue. Les organismes qui traitent des données personnelles devront veiller au respect des textes tout au long du cycle de vie de la donnée. En contrepartie de cette réduction du contrôle en amont, le RGPD renforce les pouvoirs de sanction des autorités de régulation nationales.

Pour s’assurer de leur conformité à tout instant, les responsables de traitements disposeront de nouveaux outils (analyses d’impact, registre) et de nouvelles ressources (les délégués à la protection des données).

1. Rappel du contexte du RGPD

En 2012, la Commission européenne a présenté une proposition de règlement général sur la protection des données dans l’optique de mettre en place un cadre solide et cohérent de protection permettant à l’économie numérique de se développer au sein du marché intérieur.

images/00-01.png

Les trois objectifs du RGPD

Après plusieurs années de négociation, le Règlement Général sur la Protection des Données (RGPD) du Parlement européen et du Conseil a été adopté le 27 avril 2016, abrogeant la directive 95/46/CE.

En effet, dès le 25 janvier 2012, la Commission a publié un certain nombre...

Applicabilité de la loi Informatique et Libertés

1. Applicabilité matérielle de la loi Informatique et Libertés

images/00-page21.png

Dans quels cas une personne concernée par un traitement peut-elle invoquer l’application du RGPD ?

  • Cas n° 1 : le responsable du traitement ou le sous-traitant est établi dans l’Union européenne ; dès qu’une entreprise a son siège social en France ou dans un autre État membre, le RGPD s’appliquera.

  • Cas n° 2 : le responsable du traitement ou le sous-traitant est établi hors de l’Union européenne mais met en œuvre des traitements ciblant des personnes situées dans l’Union européenne et liés à une offre de biens ou de services dans l’Union européenne (même si elle est gratuite), ou au suivi du comportement des personnes résidant dans l’Union européenne.

  • Cas n° 3 : le responsable du traitement ou le sous-traitant est établi hors de l’Union européenne mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public. Concrètement, cette disposition concerne l’hypothèse de la représentation diplomatique ou consulaire d’un État membre.

2. Qui contrôle le respect de la loi Informatique et Libertés ?

En France, l’autorité de régulation est la Commission Nationale de l’Informatique et des Libertés (CNIL).

En tant qu’autorité administrative indépendante (Loi n° 78-17, 6 janv. 1978, art. 8), elle ne reçoit aucune instruction des pouvoirs publics.

Elle peut proposer toute mesure législative ou réglementaire nécessaire pour adapter la protection des données personnelles à l’évolution des technologies et est d’ailleurs consultée avant toute réforme en la matière.

Elle dispose en outre d’un pouvoir de sanctions graduées : mise en demeure, avertissement, sanction pécuniaire, injonction de cesser le traitement, retrait de l’autorisation accordée.

Enfin, l’autorité travaille en étroite collaboration avec ses homologues européens et internationaux pour élaborer...

Qu’est-ce que l’Accountability ?

Difficilement traduisible dans toutes ses nuances en français, la notion d’« Accountability » se voit souvent traduite par le terme « responsabilité » mais celui-ci n’évoque qu’une des facettes de cette notion. Car c’est beaucoup plus que cela : l’Accountability est, à la fois, l’affirmation de la responsabilité de l’entreprise mais aussi, et surtout, sa faculté à démontrer qu’elle a bien respecté les exigences réglementaires en matière de protection des données.

Autrement dit, l’Accountability peut se traduire comme le fait d’être responsable et de devoir rendre compte.

La CNIL définit l’Accountability comme « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ».

La définition qui semble être la plus proche de l’idée exprimée par le Règlement est, selon nous, la définition suivante : l’Accountabilty est, d’une part, l’obligation générale pour les entreprises de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer que les traitements des données sont réalisés conformément au Règlement et, d’autre part, de pouvoir le démontrer.

Ce faisant, le Règlement introduit une nouvelle méthodologie qui vient complétement révolutionner le système probatoire en matière de protection des données à caractère personnel : l’Accountability, qui constitue le bras armé de la Compliance. Il ne s’agit pas simplement d’une inversion de la charge de la preuve, mais d’un changement en profondeur du mode probatoire en passant d’une preuve ex post à une preuve ex ante. Désormais, le responsable de traitement et le sous-traitant sont responsabilisés et doivent être en mesure de démontrer, à tout moment et par tous moyens, leur conformité avec les dispositions du règlement...