Données personnelles

DONNÉES PERSONNELLES

Consulter la page Cybersécurité
Présentation générale des problématiques liées aux données personnelles
  1. La donnée à caractère personnel et son traitement
  2. Cadre juridique
  3. Droits reconnus aux individus sur leurs données personnelles
  4. Obligations pesant sur les responsables de traitement
  5. Organes consultatifs et de contrôle
  6. La géopolitique des données personnelles

I. La donnée à caractère personnel et son traitement

La protection prévue par les textes européens et nationaux concerne exclusivement les données à caractère personnel, soit toute information se rapportant à une personne physique identifiée ou pouvant être identifiable directement ou indirectement par référence aux informations à disposition (Ex : Numéro d’identification, données de localisation, Adresse IP).

Ces données à caractère personnel, individuellement ou au sein d’un ensemble plus large, sont le plus souvent stockées dans des fichiers après avoir fait l’objet d’un traitement, qui s’entend tant de la simple conservation des données que de leur diffusion, leur enregistrement ou encore leur destruction.

En vue de leur traitement, et pour faciliter leur gestion au sein de bases de données, les données à caractère personnel peuvent être  décrites par des métadonnées.  

Parmi les différents traitements, une place particulière est réservée au profilage, qui consiste à utiliser les données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, afin d’analyser ou prédire ses comportements et préférences en matière économique ou professionnelle, de santé ou encore de localisation.

À l’inverse, le traitement des données personnelles peut s’opérer selon un principe de pseudonymisation, qui vise à réduire la possibilité pour un tiers de rattacher les données traitées à l’identité originale d’une personne. Dans le but de conférer une meilleure sécurité.

II. Cadre juridique

L’effervescence autour de l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018 ne doit pas faire oublier que le droit européen s’intéresse depuis longtemps à la question de la protection des données personnelles, une préoccupation présente dès  la directive 95/46 du 24 octobre 1995 qui consacrait déjà un droit à l’information, à l’accès, à l’opposition et à la rectification des données à caractère personnel. Par la suite, l’article 8 de la Charte des droits fondamentaux de l’Union européenne est venu élever le droit à la protection de ses données personnelles en un droit fondamental.

Fut ensuite adoptée la directive du 12 juillet 2002 dite « Directive E-privacy » qui vise à réguler le traitement et la gestion des données à caractère personnel le secteur des communications électroniques (ex: par les entreprises de télécoms).  

Abandonnant la directive pour recourir au règlement, l’Union européenne a souhaité parachever ce mouvement en garantissant un niveau de protection uniforme dans l’ensemble des pays membres. Le règlement général sur la protection des données (RGPD), adopté le 14 avril 2016 et dont l’entrée en application  est fixée au 25 mai 2018, impose ainsi la création d’autorités de contrôle indépendantes dans chaque État membre, tout en imposant aux entreprises d’internaliser la gestion des risques liés à la protection des données personnelles. Il consacre enfin de nouveaux que nous aborderons dans la section consacrée.

En droit français, la Loi informatique et libertés (LIL) adoptée en 1978 et constamment modifiée depuis constitue le texte de référence en matière de protection des données personnelles. Pensée à l’origine comme un outil de protection des personnes contre l’État, elle renforce les droits des personnes physiques sur leurs données et précise les pouvoirs de contrôle et de sanction de la Commission Nationale de l’Informatique et des Libertés (CNIL).

L’une des dernières modifications au texte a été apportée par la loi du 7 octobre 2016 pour une République numérique qui anticipe en partie l’application du RGPD et l’approfondit à certains égards, en créant notamment un droit à l’oubli renforcé pour les mineurs, un droit à la portabilité spécifique pour les consommateurs et le droit d’émettre des directives anticipées auprès du responsable de traitement. D’autres ajouts sont aujourd’hui envisagés dans le cadre du projet de loi LIL 3 actuellement en discussion devant le Parlement.

III. Droits reconnus aux individus sur leurs données personnelles

Les textes européens comme nationaux reconnaissent le droit de toute personne à la protection de ses données personnelles. Ce droit est même érigé en principe fondamental par l’article 8 de la Charte des droits fondamentaux de l’Union européenne.

Avec l’entrée en application du RGPD, ce droit à la protection est renforcé tout comme le droit à l’information, et ce dans l’optique plus large de conférer un réel pouvoir aux individus sur leurs données. Différents droits sont repris directement de la directive du 24 octobre 1995, notamment le droit à l’information et les droits d’accès, d’opposition et de rectification de ses données.

Cependant, le RGPD approfondit la démarche et consacre en droit européen l’obligation de transparence ainsi que de nouveaux droits originaux avec l’emblématique droit à l’oubli, le droit à la limitation du traitement et le droit à la portabilité.

En dehors de ces droits garantis par le RGPD, la France, avec la loi pour une République numérique du 7 octobre 2016 a notamment créé un droit à la portabilité pour les consommateurs, un droit à l’oubli renforcé pour les mineurs, ainsi qu’un droit d’émettre des directives anticipées. Il faudra donc prendre en compte également ces nouveaux droits des personnes aux côtés de ceux garantis par le RGPD.

Pour un détail des différents droits, se reporter à la rubrique “Droits” du lexique.

IV. Obligations pesant sur les responsables de traitement

Les responsables de traitement, qu’ils agissent seuls ou à plusieurs (co-responsables de traitement) ou qu’ils délèguent certaines de leurs activités à des sous-traitants, sont tenus au respect d’un certain nombre d’obligations et de bonnes pratiques lorsqu’ils manipulent des données à caractère personnel.

Du point de vue des bonnes pratiques, il est indiqué de se préoccuper de la protection des données dès la conception du produit ou du service qui s’accompagne d’un traitement de données personnelles (privacy-by-design), en mettant en oeuvre les moyens disponibles pour assortir ce traitement des garanties nécessaires et minimiser l’utilisation des données. Au delà du seul stade de la conception, le responsable de traitement est en outre tenu de garantir aux utilisateurs le plus haut niveau de protection disponible (privacy-by-default), à charge ensuite pour la personne concernée par le traitement de consentir à des modalités moins favorables (ex: la localisation sur smartphone est désactivée à l’origine et nécessite le consentement de l’utilisateur).

Les lois récentes en matière de données personnelles montrent une tendance à l’internalisation des obligations pesant sur l’entreprise, qui est désormais elle-même tenue de prévenir les risques. Le responsable de traitement devra donc désormais obligatoirement établir un délégué à la protection des données personnelles (Data Protection Officer), qui possède tant une fonction de conseil envers l’entreprise que de contrôle. A ce titre, il possède une certaine indépendance quant à l’organisation dans laquelle il s’insère. De la même manière, les responsables de traitement doivent mener des études d’impact (Privacy Impact Assessment) portant sur les risques d’atteinte à la sécurité des données personnelles ou aux droits des personne concernées (dans les cas indiqués par le RGPD).

Enfin, pour des questions tant de responsabilité que de transparence, le responsable de traitement est tenu par la loi de conserver un registre des activités de traitement qui est un document recensant tous les traitements effectués par le responsable de traitement. En présence d’un sous-traitant, ce dernier doit également en tenir un. Le responsable de traitement est également, dans les conditions fixées par le RGPD, d’informer les personnes concernées lorsqu’il existe un risque élevé que la sécurité de leurs données ait été compromis.

V. Organes consultatifs et de contrôle

La régulation progressive de la matière de la protection des données personnelles s’est accompagnée de la création de plusieurs organes chargés tantôt de former des recommandations auprès du législateur français ou européen, tantôt de surveiller et sanctionner les comportements présentant un risque pour la sécurité des données personnelles.

En droit français, l’autorité de référence en matière de protection des données personnelles est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui veille à la protection des données personnelles contenues dans les fichiers et traitements tenus tant par des opérateurs privés que des personnes publiques, avec un pouvoir de sanction propre.

En droit de l’Union européenne, le RGPD a apporté d’importants changements, en créant le Comité européen de la protection des données, organe doté de la personnalité juridique, dont le secrétariat est désormais assuré par le Contrôleur européen de la protection des données personnelles. Ce dernier est une autorité indépendante chargé d’aider l’interprétation des règles ainsi que de formuler des recommandations auprès de la CJUE. Il a également vocation à régler les éventuels conflits pouvant naître entre les autorités nationales.

L’ambition d’une législation harmonisée au niveau européen en matière de données personnelles justifie également que le RGPD ait prévu des mécanismes de coopération, entre les autorités nationales et les organes européens, mais aussi entre les autorités nationales elles-mêmes.

Ainsi, pour les transferts frontaliers réalisés par des responsables de traitement ayant leur établissement principal sur le territoire d’un Etat membre, l’autorité de contrôle de cet Etat membre aura compétence pour agir en tant quautorité de contrôle « chef de file » (on parle aussi de « guichet unique »).

VI. La géopolitique des données personnelles

Le niveau de protection des données personnelles ayant été harmonisé par le RGPD, le transfert des données vers un autre Etat membre de l’UE ne suppose pas l’accomplissement de démarches nécessaires.

Or il est aujourd’hui admis que les principaux opérateurs traitant de la donnée personnelle sont pour la plupart des sociétés non ressortissantes de l’UE, qui bien qu’elles aient parfois des filiales agissant exclusivement sur le territoire de l’Union européenne, peuvent être amenées à effectuer des transferts de données vers des pays tiers.

Afin de permettre que de tels transferts s’établissent dans des conditions satisfaisantes pour la protection des données personnelles, trois types de mécanismes sont prévus, dont l’un est spécifique aux échanges entre l’Union européenne et les Etats-Unis.

Le transfert vers un pays tiers ne nécessite aucune autorisation spécifique lorsque le pays de destination bénéficie d’une décision d’adéquation rendue par la Commission européenne lorsqu’elle constate que le niveau de protection assuré par l’Etat ou une autorité nationale est suffisant (les pays bénéficiant d’une telle décision sont notamment: la Nouvelle Zélande, Israël, la Suisse, le Canada, l’Argentine…).

En l’absence d’une telle décision, le transfert vers un pays tiers n’est possible que si le responsable de traitement prévoit des garanties appropriées assurant un niveau équivalent de protection, la personne concernée devant conserver la possibilité de s’opposer à ce transfert.

Le régime des échanges entre les Etats-Unis et l’Union européenne a toujours connu un régime particulier. Pendant longtemps, il a reposé sur l’accord dit du Safe Harbor, au terme duquel l’adéquation du niveau de protection américain était assuré par l’adhésion des entreprises à un certain nombre de principes. Mais suite à l’annulation de cet accord par la CJUE (arrêt Max Schrems du 6 oct. 2015), du fait notamment des révélations sur la surveillance de masse menée outre-atlantique, un nouvel accord a été conclu, le Privacy Shield. Les entreprises américaines, dont les obligations ont été renforcées, doivent désormais s’enregistrer chaque année sur un registre spécial et font l’objet d’une surveillance par le Département du Commerce américain. L’accord vise en outre à limiter l’ingérence des agences de surveillance américaine, et garantit un recours effectif aux citoyens de l’Union européenne contre celles-ci.


LEXIQUE

I. La donnée à caractère personnel et son traitement
  • Données à caractère personnel

Selon l’article 4.1 du RGPD, il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ». Le texte indique que la personne identifiable s’entend de la personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant (tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne) ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

  • Traitement de données personnelles

Le traitement de données personnelles est définie par l’article 4.2 du RGPD comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ».

Ce traitement englobe notamment la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction des données personnelles.

  • Fichier

L’article 4.6 du RGPD explicite la notion de fichier comme « Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».

  • Pseudonymisation

La pseudonymisation vise à réduire la possibilité pour un tiers de rattacher les données traitées à l’identité originale d’une personne. Au contraire donc de l’anonymisation, elle ne rend pas impossible ce rapprochement.

Plus précisément, l’article 4.5 du RGPD définit la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable »

  • Profilage

Le profilage est une forme de traitement qui consiste à utiliser des données personnelles pour évaluer certains aspects personnels relatifs à une personne physique, et notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique (art. 4.4 du RGPD).

  • Métadonnée

Une métadonnée est une “donnée” sur une donnée, dont elle sert à décrire le contenu. Elle présente un intérêt tout particulier pour l’utilisation notamment d’une base de données.

II. Textes relatifs à la protection des données personnelles
  • Loi informatique et libertés

La loi informatique et libertés du 6 janvier 1978 relative aux fichiers et aux libertés était à l’origine pensée comme un outil de protection des personnes contre l’État après l’émotion suscitée par le projet gouvernemental d’un système automatisé pour les fichiers administratifs et le répertoire des individus (SAFARI).

Avec l’avènement d’Internet, elle a fait l’objet de multiples modifications, notamment avec la loi du 6 août 2004, qui transpose les dispositions de la Directive n°95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Plus récemment, la loi du 7 octobre 2016 pour une République Numérique (LRN) a tâche d’actualiser la LIL en y incluant des notions évoquées dans le cadre de l’adoption du RGPD. D’ici le 25 mai 2018, la LIL devra en effet être remaniée afin d’accueillir les nouvelles dispositions du RGPD, ce que vise à faire le projet de loi dit « LIL 3 » actuellement en cours de discussion parlementaire.

  • Règlement général sur la protection des données (RGPD / GDPR)

Le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données abroge la directive du 24 octobre 1995.  

Il vise à conférer un niveau de protection harmonisé et élevé dans tous les Etats-membres de l’Union européenne et entend renforcer les droits des personnes. Le règlement laisse toutefois une certaine marge de manoeuvre aux Etats sur près de 56 questions, notamment pour adopter des législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises.

  • (Directive) E-privacy

La Directive 2002/58/CE du 12 juillet 2002 concerne le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (“Directive vie privée et communications électroniques”).
N.B : Cette directive fait actuellement l’objet d’une réforme dans le sens d’une extension de son champ d’application, l’Union européenne prévoyant de recourir ici encore au règlement.

III. Droits reconnus aux individus sur leurs données personnelles
  • “Majorité numérique”

Âge légal à partir duquel une personne peut valablement consentir à la collecte et au traitement de ses données à caractère personnel à des fins notamment commerciales, et en deçà duquel l’autorisation des parents est nécessaire.
Le RGPD fixe cet âge minimal à 16 ans, tout en laissant la possibilité pour les Etats de l’abaisser jusqu’à 13 ans.

  • Droit à l’information

En raison de son droit à l’information, la personne concernée a droit à la communication des éléments suivants par le responsable du traitement, qui est lui même tenu de les fournir :

  1. Identité et les coordonnées du responsable du traitement
  2. Coordonnées du délégué à la protection des données s’il a été désigné
  3. Finalités du traitement et base juridique du traitement
  4. Existence d’un intérêt légitime justifiant le traitement
  5. Destinataires des données à caractère personnel
  6. Possibilité de transfert en dehors de l’UE
  • Droit d’accès de la personne concernée

Le droit reconnu à la personne concernée dans un premier temps d’obtenir confirmation que ses données personnelles sont traitées, et dans un second temps le droit d’accéder à ces données ainsi qu’aux différentes informations concernant leur traitement, leur destination, la durée de leur conservation ainsi que des possibilités de faire usage du droit à l’oubli ou de saisir une autorité de contrôle. (Art. 15.1 RGPD)

  • Droit de rectification

Le droit pour la personne concernée de demander et obtenir la rectification des données à caractère personnel qui la concernent et qui se révèlent inexactes. Elle peut encore demander à compléter les données personnelles parcellaires. L’article 16 du RGPD énonce que cette rectification doit s’opérer “dans les meilleurs délais”.

  • Droit à l’oubli numérique

Le droit à l’oubli numérique a été consacré pour la première fois au niveau européen par la CJUE dans son arrêt Google Spain du 13 mai 2014. Il est désormais expressément consacré dans le RGPD à l’article 17.1, qui énonce les conditions à réunir pour demander la suppression de données à caractère personnel :

  1. Les données ne sont plus nécessaires au regard de la finalité du traitement
  2.  La personne retire son consentement à un traitement qui n’avait pas d’autre fondement juridique que ce consentement
  3. La personne s’oppose au traitement qu’aucun motif impérieux ne justifie
  4. Les données ont fait l’objet d’un traitement illicite
  5. Les données à caractère personnel doivent être effacées pour respecter une obligation légale
  6. Les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information.

En droit français, le droit à l’oubli figurait déjà dans la loi informatique et liberté (art. 40-I) et a depuis été renforcé pour les mineurs (en insérant un art. 40-II) par la loi pour une République numérique.

  • Testament numérique (droit d’émettre des directives anticipées)

Nouveauté introduite par la Loi pour une République numérique du 7 octobre 2016, spécifique au droit français. Est ainsi prévu la possibilité pour “toute personne [de] définir des directives (générales ou particulières) relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès” (art. 40-1 II. LIL).

  • Droit à la limitation du traitement

Droit reconnu aux personnes concernées d’obtenir la limitation du traitement dans quatre hypothèses identifiées par l’article 18.1 du RGPD :

  1. En cas de contestation sur l’exactitude des données personnelles, afin que le responsable de traitement vérifie leur exactitude.
  2. Lorsque le traitement étant illicite, la personne concernée s’oppose à leur effacement mais exige à la place la limitation de leur utilisation.
  3. Lorsque le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais que celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice.
  4. La personne concernée s’est opposée au traitement pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
  • Portabilité (Droit à)

Le droit à la portabilité a été introduit par l’article 20 du RGPD et vise à renforcer le pouvoir des personnes concernées en permettant un transfert facilité des données à caractère personnel d’un responsable de traitement à un autre.

Ainsi, le responsable de traitement doit être en mesure de fournir à la personne concernée l’ensemble des données qu’elle lui a fourni, dans un format “structuré, couramment utilisé et lisible par machine”, sans qu’il ne puisse s’opposer au transfert de ces données à un autre responsable de traitement.

Le droit à la portabilité permet donc d’envisager une mise en concurrence des responsables de traitement.

  • Droit à la portabilité à la française

Consacré dans le droit de la consommation à l’article L224-42-1, qui dispose que « le consommateur dispose en toutes circonstances d’un droit de récupération de l’ensemble de ses données ».

  • Droit d’opposition

Le droit pour toute personne de s’opposer au traitement de ses données personnelles et l’obligation pour le responsable de traitement d’y faire suite, sauf à ce qu’il justifie d’un motif légitime et impérieux qui prévaut sur les droits et libertés de la personne ou bien que ces données soient nécessaires à la constatation, l’exercice ou la défense de ses droits en justice. (Article 21.1 RGPD)

IV. Obligations pesant sur les responsables de traitement
  • Responsable de traitement

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

  • Responsables conjoints du traitement

Notion introduite par le RGPD, qui renvoie au cas ou deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement. Aux termes de l’article 26.1, il revient aux responsables conjoints de “définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du RGPD”. Les responsables conjoints de traitement demeurent solidairement responsables.

  • Sous-traitant

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

  • Privacy by Design / Protection des données dès la conception

Obligation faite au responsable de traitement de mettre en oeuvre, dès la détermination du traitement et de ses moyens, les mesures techniques et l’organisation appropriées pour garantir les principes relatifs à la protection des données, et notamment la minimisation de la collecte de celles-ci et la protection des droits de l’utilisateur.

Il s’agit d’une notion souple qui dépend de l’état des connaissances, des coûts de mise en oeuvre, de la nature et de la finalité du traitement mais aussi des risques pour les droits et libertés des personnes physiques.

  • Privacy by Default / Protection des données par défaut

Obligation faite au responsable de traitement de mettre en oeuvre les mesures techniques et l’organisation appropriées pour garantir que par défaut, seules les données à caractère personnel nécessaires à la finalité du traitement sont traitées. Il s’agit en particulier de garantir que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée (ex: la localisation sur un téléphone).

  • Délégué à la protection des données / Data Protection Officer (DPO)

Le délégué à la protection des données, selon les cas, peut ou doit être désigné par le responsable du traitement qui lui confie alors une mission de conseil et de contrôle sur le respect de la réglementation en matière de protection des données personnelles. Le DPO constitue en outre le point de contact du responsable de traitement avec les autorités de contrôle.

NB: En France, le DPO remplacera l’ancien correspondant informatique et liberté (CIL) lors de l’entrée en vigueur du RGPD qui crée la fonction

  • Privacy Impact Assessment (PIA)

Les analyses d’impact relatives à la protection des données ont vocation à permettre au responsable de traitement de construire et de démontrer la mise en œuvre des principes de protection de la vie privée afin que les personnes concernées conservent la maîtrise de leurs données à caractère personnel. Elles conduisent notamment à analyser la probabilité des risques pour les droits et personnes concernées par le traitement. Le contenu des PIA est énoncé à l’article 35.7 du RGPD.

  • Registre des activités de traitement

L’article 30. 1 du RGPD impose à tout responsable de traitement ou à son représentant de tenir un registre des activités de traitement qui sont effectuées sous sa responsabilité.

  • Obligation de notification (violation des données à caractère personnel)

Lorsqu’une violation des données à caractère personnel survient et est de nature à porter atteinte aux droits et libertés des personnes concernées, le responsable de traitement est tenu d’en notifier l’autorité de contrôle dans un délai de 72 h.

Ce n’est que si la violation présente un risque élevé pour les droits et libertés des personnes concernées que le responsable de traitement peut être tenu de les notifier directement.

  • Obligation d’information sur les modalités du traitement

(v. Droit à l’information)

  • Obligation de transparence

Le responsable du traitement est tenu de procéder à ces obligations d’information et de communication de façon concise, transparente et compréhensible, en particulier lorsqu’il s’adresse à un mineur (Article 12.1 RGPD).

V. Organes consultatifs et de régulation
  • CNIL (Commission Nationale de l’Informatique et des Libertés)

La Commission Nationale de l’Informatique et des Libertés (CNIL) a été créée par la Loi Informatique et Libertés du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. Ses prérogatives sont définies à l’article 11 de la loi informatique et liberté et l’article 51 du RGPD.

(site de la CNIL)

  • Contrôleur européen de la protection des données

Une autorité de contrôle indépendante instituée par le règlement du 18 décembre 2000 (45/2001) dont les missions consistent à contrôler et assurer la protection des données à caractère personnel et de la vie privée lors du traitement d’informations personnelles par les institutions et organes de l’UE mais aussi à intervenir devant la Cour de justice de l’UE afin de prodiguer des conseils spécialisés sur l’interprétation de la législation relative à la protection des données.

Le contrôleur coopère en outre avec les autorités nationales de contrôle et les autres organes de contrôle en vue d’améliorer la cohérence en matière de protection des informations personnelles et assure le rôle de secrétariat du Comité européen de la protection des données personnelles.

(site du Contrôleur européen)

  • Autorité de contrôle chef de file

Mécanisme introduit par le RGPD et qui permet aux responsables de traitement agissant dans d’autres Etats membres et assurant des transferts transfrontaliers de s’adresser à une autorité nationale unique (celle du lieu de leur établissement principal) selon une logique de “guichet unique”.

  • Article 29 Working Party (WP29)/Groupe de travail de l’article 29

Institué par l’article 29 de la directive du 24 octobre 1995, le Groupe de travail de l’article 29 sera remplacé par le Comité européen de la protection des données personnelles lors de l’entrée en vigueur du RGPD le 28 mai 2018.

C’est un organe consultatif européen indépendant prenant la forme d’un groupe de travail sur les questions relatives à la protection des données et de la vie privée, constitué de représentants des autorités de contrôle de chacun des Etats, de la Commission européenne, et du contrôleur européen de la protection des données.

Ses missions sont définies à l’article 30 de la directive 95/46/CE et à l’article 15 de la directive 2002/58/CE, et consiste notamment en:

  1. L’adoption de recommandations afin de contribuer à l’élaboration des normes européennes et à l’application unifiée des directives (ex: recommandation sur le DPO du 5 avril 2017).
  2. La remise d’avis à Commission sur le niveau de protection dans les pays hors UE
  3. Un rôle consultatif sur les codes de conduite élaborés à l’échelle communautaire
  4. Un rôle de conseiller envers la Commission européenne sur les projets qui affecteraient la protection des données et les libertés des personnes.

Le WP29 a également pris l’habitude d’adresser des lettres aux entreprises responsables de traitement afin d’obtenir des clarifications sur leurs pratiques.

  • Comité européen de la protection des données

Organe indépendant de l’Union européenne institué par l’article 68 du RGPD (au sein du chapitre “Coopération et cohérence”), doté de la personnalité juridique et composé de représentants des autorités de contrôle nationale et dont les missions sont, au terme des articles 70 et 71 :

  1. La publication de lignes directrices, recommandations et bonnes pratiques afin de favoriser l’application cohérente du présent règlement.
  2. L’arbitrage des conflits entre autorités de contrôle et la promotion des échanges entre elles.
  3. De conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l’Union.
  4. D’émettre des avis sur les codes de conduite élaborés au niveau de l’Union.
  5. De procéder à l’agrément des organismes de certification.
  6. La remise d’avis à Commission portant sur la présence d’un niveau de protection adéquat dans les pays hors UE ou les organisations internationales.
  7. La rédaction et la publication d’un rapport annuel sur la protection des personnes physiques à l’égard du traitement dans l’Union.

Nos derniers articles sur les données personnelles et la cybersécurité