Applicable dès le 25 mai 2018, le GDPR, Règlement Général européen de Protection des Données personnelles, s’inscrit dans le prolongement des lois Informatique et Liberté européenne. Il élargit les droits des Citoyens sur la gestion de leurs données personnelles :

  • Consentement : aucune donnée ne peut être collectée sans accord explicite et positif (art. 7)
  • Transparence : droit de savoir à quoi servent ses données (art. 13 et 14)
  • Droit d’accès et de rectification : droit de consultation et de modification (art. 15 et 16)
  • Droit à l’oubli : suppression et limitation de conservation des données (art. Image associée17)
  • Portabilité : droit de récupérer ses données pour les transférer ailleurs (art. 20)
  • Droit d’opposition : la personne concernée a le droit de s’opposer à tout moment au traitement de ses données (art 21)
  • Profilage : droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (art. 22).
  • Minimisation : gestion des données uniquement nécessaires à la finalité réelle (art. 5)
  • Sécurité : droit de voir ses données systématiquement protégées (art. 32)
  • Notification : droit à l’information en cas de fuite de données (art. 33)
Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.
La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.
Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat. 

Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence).

Elles seront collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités).

Elles devront être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données); exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude).

Elles pourront être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation).

Ces données seront traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).

En Italie, il n’existait pas de loi sur la protection des données personnelles avant la transposition, qui a été réalisée par l’adoption de la loi du 31 décembre 1996 portant protection des personnes et des organismes publics et privés à l’égard du traitement de données à caractère personnel. Comme son nom l’indique, la loi italienne concerne les personnes physiques et les personnes morales. Par ailleurs, elle s’applique aux fichiers automatisés et aux fichiers manuels. Cependant, elle exclut certains traitements réalisés par les administrations publiques, et notamment par celle de la justice.

En revanche, le Portugal et le Royaume-Uni ont dû modifier leur législation pour transposer la directive 95/46/CE. Tous deux l’ont fait en 1998. Au Portugal, la transposition a exigé une révision constitutionnelle et s’est traduite par l’abrogation de la loi précédente, qui datait de 1991. La nouvelle loi portugaise concerne, quel que soit leur support, tous les fichiers, publics ou privés, manuels ou automatisés, comportant des données personnelles relatives aux personnes physiques. La nouvelle loi anglaise, qui concerne également les seules personnes physiques, a un champ d’application plus large que la loi précédente, qui datait de 1984 et qui ne visait que les fichiers automatisés. La loi de 1998 s’applique en effet aussi à certains fichiers manuels. De plus, elle vise toutes les données personnelles, quelles qu’elles soient (données textuelles sur support électronique, enregistrements sonores, images vidéo…). Dans l’attente de la publication des textes réglementaires nécessaires à son application, la loi de 1998 n’est pas encore entrée en vigueur.

Aux Pays-Bas, le gouvernement a déposé un projet de loi relatif à la protection des données personnelles. Après son adoption, ce texte devrait remplacer la loi actuelle, qui date de 1988. Le projet de loi du gouvernement néerlandais est assez proche de la directive. Il vise tous les fichiers, automatisés ou manuels, comprenant des données relatives aux personnes physiques, mais exclut certains fichiers publics, parmi lesquels ceux de la police, qui sont régis par une autre loi.

La directive 95/46/CE définit les données sensibles en prévoyant l’interdiction du  » traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale  » ainsi que de celles  » relatives à la santé et à la vie sexuelle « . Elle assortit cette interdiction de tout traitement de quelques exceptions, parmi lesquelles le consentement explicite de l’intéressé et l’autorisation de la loi, du règlement ou de l’autorité de contrôle.

La loi de 1998 s’applique à toutes les données personnelles, quelle que soit leur nature, c’est-à-dire également aux enregistrements sonores et visuels. De plus, elle inclut dans son champ d’application les données comportant l’expression d’une opinion sur les personnes.

Comme la loi de 1984, celle de 1998 comprend un certain nombre d’exemptions. En particulier, les données relatives à la prévention et à la détection des crimes et celles concernant les procédures judiciaires en cours ainsi que les informations utilisées dans la lutte contre la fraude fiscale sont partiellement exclues du champ d’application de la loi : les principes de loyauté et de licéité du traitement, de non-révélation aux tiers, ainsi que le droit d’accès ne leur sont pas applicables lorsque cette application pourrait nuire à la lutte contre la criminalité ou contre la fraude fiscale.

La General Data Protection Regulation (GDPR), définitivement adoptée en 2016 au Parlement Européen représente donc un Big Bang en matière de réglementation de protection des données personnelles en Europe.

Résultat de recherche d'images pour "réglementation de protection de données personnelles"

 

 

Publicités

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s