Le Règlement général sur la protection des données (RGPD) est le texte de référence de l’Union Européenne sur le traitement des données à caractère personnel. Il est directement applicable dans l’ensemble des 28 États membres de l’Union depuis le 25 mai 2016.
La France a adapté sa loi « Informatique et Libertés » de 1978 au RGPD par une la loi relative à la protection des données personnelles, promulguée le 20 juin 2018.
Le RGPD, cadre de référence qui harmonise la protection des données
Concrètement, le RGPD permet la mise en place d’un cadre harmonisé de la protection des données au seins des pays membre. Le règlement présente même un caractère extra-territorial en ce qu’il doit s’appliquer aux entreprises non européenne qui traitent de données relatives aux membres de l’UE.
Le règlement fixe des règles de consentement dites « explicites et positives ». C’est par exemple le fait, sur un site Internet, d’informer expressément sur le traitement de donnée. Le droit à l’effacement est également consacré.
Enfin, le règlement fixe des sanctions plus importantes en cas de non-respect des règles qu’il détermine.
En France, la loi d’adaptation du RGPD du 20 juin 2018 a notamment permis l’évolution de la CNIL, dotée de nouvelles missions :
- établir et publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ;
- encourager l’élaboration de codes de conduite par les acteurs traitant des données ;
- produire et publier des règlements types afin d’assurer la sécurité des systèmes de traitement et de régir les traitements de données biométriques, génétiques et de santé ;
- certifier des personnes, des produits, des systèmes de données ou des procédures ;
- lister les fichiers pénaux pouvant présenter un risque élevé pour les droits et libertés des personnes.
La CNIL voit aussi ses pouvoirs de contrôle et de sanction renforcés.
En effet, de nouvelles sanctions sont prévues en cas de violation des règles sur la protection des données : le prononcé d’une astreinte ou le retrait d’une certification ou d’un agrément. Le montant des amendes administratives est également fortement augmenté.