Règlement européen (RGPD) indexé, commenté

La Directive 95/46/CE a nécessité une refonte : Elle a été conçue au début des années 1990, votée en 1995, transposée en France le 6 août 2004 sous la forme d’une révision de la Loi dite « Informatique et Libertés », bien avant l’adoption d’Internet par le plus grand nombre, l’irruption des réseaux sociaux, l’apparition ou la diffusion de technologies comme les puces RFID, la géolocalisation, le Cloud Computing, les réseaux sans fil, la vidéosurveillance, le profiling marketing…

Cette rubrique vous permet de suivre les travaux qui ont mené à sa révision, et au delà, à la modification de la Loi Informatique et Libertés.

En tant qu’association représentative de la profession de CIL, l’AFCDP a apporté au débat son expertise et sa vision.

RGPD (GDPR) annoté et commenté (avec index) en version .pdfRgpd annote et indexe afcdp v3

Les membres présents lors de l’Assemblée générale qui s’est tenue à l’Isep le 21 juin 2016 ont eu la surprise de se voir remettre une version imprimée du règlement (UE) 2016/679 du 27 avril 2016 (RGPD), annotée et commentée.

Cet outil doit permettre aux professionnels concernés un accès plus fluide aux nouvelles dispositions.

Pour en faire un document qui devrait rester en permanence sous notre main, nous avons rapproché certains considérants des articles correspondants, clarifié des renvois, signalé les évolutions majeures par rapport à la loi actuelle, signalé en couleur jaune les passages qui citent le délégué à la protection des données et ajouté un index.

L’AFCDP met gracieusement à la disposition de la communauté des CIL et des futurs délégués à la protection des données une version .pdf de ce document.

Il est également possible de commander ce document en version reliée (à prix coutant).

Vous avez remarqué une erreur ou une correction à apporter ? Merci de nous aider à améliorer ce document en adressant un courriel ()

Voici le texte du projet de loi "CNIL 3"

Le Ministère de la Justice, en collaboration avec le Secrétariat d’État au Numérique, a soumis le 13 décembre 2017 au Parlement son Projet de loi relatif à la protection des données personnelles, qui doit mettre le droit français en conformité avec le RGPD en amendant la loi « Informatique & Libertés » de 1978 avant le 25 mai 2018.

Voici l’ensemble des textes relatifs à ce projet :

L’AFCDP avait été reçu en mai 2017 par pour faire entendre la voix des professionnels concernés (les CIL, futurs Délégués à la protection des données). Elle a été à nouveau reçue le 28 novembre 2017 par ce même service. Une délégation de l’AFCDP est auditionnée le 20 décembre par Mme Paula Forteza, Rapporteur pour le projet de loi.

Les adhérents de l’AFCDP expriment actuellement leurs sentiments, remarques et suggestions au sein du réseau social privé qui leur est réservé, afin que soit formalisée la position que l’AFCDP présentera dans le cadre de son audition relative à l’écriture du décret d’application.

Pour rappel, lors de la 12e conférence annuelle organisée le 24 janvier 2018, nous bénéficierons de l’intervention de de M. Thomas Andrieu, Directeur des affaires civiles et du sceau, qui nous dévoilera les coulisses des travaux préparatoires qui ont conduit au projet de loi.

Le législateur a choisi de conserver l’architecture de cette loi, estimant dans ses motifs que « les principes fondateurs dégagés par le législateur il y a près de quarante ans demeurent toujours valables ».

La loi n’a pas pour objectif de répéter le RGPD, celui-ci étant directement applicable.

Il s’agit simplement de corriger les incohérences et d’utiliser les marges de manœuvre laissées aux États Membres. Par conséquent, on ne retrouve rien dans ce texte sur le délégué à la protection des données (par contre celui-ci sera concerné par la refonte du décret d’octobre 2005).

Nous avons extrait quelques points remarquables du projet :

Âge du consentement des mineurs

Le projet de loi ne contenant aucune disposition sur l’âge du consentement, le seuil minimum de 16 ans fixé par le RGPD devient la règle. Le consentement des titulaires de l’autorité parentale sera nécessaire pour que leurs données personnelles soient traitées par les services de la société de l’information, tels que les réseaux sociaux. A titre de comparaison, l’Espagne propose de fixer le seuil à 13 ans.

Pouvoirs de la CNIL

  • Le texte stipule que la formation restreinte doit délibérer sans la présence d’agents de la Commission, mais en la présence du Commissaire du gouvernement. Celui-ci pourra également demander une seconde délibération sur toutes les questions ne concernant pas les sanctions
  • Les agents de la CNIL pourront procéder aux contrôles en ligne sous une identité d’emprunt, « sans incidence sur la régularité des constatations effectuées ». Un décret en Conseil d’Etat viendra préciser cette possibilité
  • L’article 17 donne le pouvoir à la CNIL, à la suite d’une plainte, de « demander au Conseil d’Etat d’ordonner la suspension ou la cessation du transfert de données » et d’« assortir alors ses conclusions d’une demande de question préjudicielle à la Cour de justice de l’Union européenne en vue d’apprécier la validité de la décision d’adéquation de la Commission européenne […] ainsi que de tous les actes pris par la Commission européenne autorisant ou approuvant les garanties appropriées dans le cadre des transferts de données ». (voir notre article sur la menace juridique que fait peser le G29 sur le Privacy Shield - réservé aux membres)
  • La CNIL pourra également « être consultée par le président de l’Assemblée nationale ou par le président du Sénat sur toute proposition de loi relative à la protection des données à caractère personnel ».
  • En revanche, en ré-écrivant l’article 44, il semble que le projet de loi fasse disparaître la possibilité pour les agents de la CNIL d’être assistés par des experts (non-membres de la CNIL).

Autorisations préalables

  • Avec le règlement, les autorisations préalables de la CNIL deviennent l’exception (Le Gouvernement a toutefois fait le choix de maintenir certaines formalités préalables pour les traitements des données les plus sensibles, par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, ou ceux utilisant le numéro de sécurité sociales). L’article 22, les imposant, est supprimé. Les consultations préalables ne seront donc plus nécessaires que lorsqu’une analyse d’impact fait ressortir que « le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.» (d’après l’exposé des motifs).
  • Un décret du conseil d’État viendra fixer les catégories de responsable de traitement et les finalités pouvant utiliser le NIR.

Données de santé

Les nouveaux articles 53 à 60 sont consacrés aux données de santé. Les traitements de ces données devront obéir à des référentiels et des règlements types établis par la CNIL en concertation avec l’Institut national des données de santé. Les traitements conformes pourront ensuite être mis en œuvre « à la condition que leurs responsables adressent préalablement à la CNIL une déclaration attestant de cette conformité ».

Droits des individus

Les individus peuvent désormais se faire représenter individuellement dans leurs plaintes auprès de la CNIL ou contre elle par les associations et organisations déjà habilitées par l’article 43 à représenter plusieurs individus dans des actions de groupe.

Décisions individuelles automatisées (DIA)

Le règlement facilite la prise de décision automatisée produisant des effets juridiques sur une personne. Dans le cas des décisions administratives automatisées, le projet de loi stipule que « le responsable du traitement s’assure de la maîtrise du traitement algorithmique et de ses évolutions », sans toutefois définir précisément cette « maîtrise du traitement algorithmique ».

Enfin, l’article 20 autorise par ordonnance le gouvernement à ré-écrire la loi « Informatique & Libertés » afin « d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées ». Il dispose d’un délai de six mois après l’adoption de la loi pour le faire.

>>> Pour rester informé des travaux, abonnez-vous gratuitement à la lettre de veille mensuelle de l’AFCDP, "L’Actualité des données personnelles", l’outil indispensable à tout DPO.

>>> Pour rester informé de l’actualité du RGPD, abonnez-vous à la newsletter de l’AFCDP gratuite et mensuelle

>>> Le seul job board dédié au métier de DPO

Le Conseil de l’Union Européenne souhaite des études d’impacts

Lors d’une réunion qui s’est déroulée à Bruxelles fin février 2011, le Conseil de l’Union Européenne a exprimé son opinion concernant la révision de la Directive et appelle de ses vœux des études d’impacts préalables afin d’évaluer le cout des mesures proposées.

Contribution de l’AFCDP auprès de la Commission européenne

"Le Délégué à la protection des données : l’acteur essentiel du nouveau dispositif global de la protection des données personnelles", tel est le titre de la contribution de l’AFCDP à la Consultation de la Commission Européenne « Une Approche Globale de la Protection des Données à caractère Personnel dans l’Union Européenne ».

Cette contribution a été commentée à Bruxelles par l’un des Administrateurs de l’AFCDP, Madame Pascale Gelly, auprès de Madame Marie-Hélène Boulanger, Chef de l’Unité "Protection des Données.

Voici un passage essentiel de cette contribution :

"… Pour ces raisons, les autorités européennes devraient faire du DPO un acteur incontournable de la nouvelle approche de la protection des données personnelles. Il s’agit à notre sens de la mesure phare de mise en œuvre du principe d’ »Accountability », prôné par la Commission dans son approche nouvelle de la protection des données personnelles.

Par conséquent, il nous paraît important pour la protection des données que les lois des Etats membres réservent toutes une place à la fonction de DPO, ce qui n’est pas le cas à l’heure actuelle où cette question a été laissée à la discrétion des Etats membres".

Peter Hustinx s’exprime : Le Contrôleur Européen en faveur des CIL/DPO

Le 14 janvier 2011, Peter Hustinx, en sa qualité de European Data Protection Supervisor, a fait part de son opinion concernant la révision de la Directive de 1995.

Parmi les nombreux points abordés, voici ceux qui concernent directement les Data Privacy Officer (et le CIL) :

- 54. Definitions (Article 2 of Directive 95/46). Definitions are the cornerstone of the legal system and should be uniformly interpreted in all Member States, with no margin of implementation. Divergences have arisen under the present framework, like for example as to the notion of controller29. The EDPS suggests adding further items to the current list in Article 2 in order to provide for more legal certainty, such as anonymous data, pseudonymous data, judicial data, data transfer and data protection officer.

- 106. The general comprehensive data protection legal instrument should not lay down the specific requirements of accountability but only its essential elements. The Communication foresees certain elements to reinforce the responsibility of data controllers, which are very welcome. More particularly, the EDPS fully supports making data protection officers and privacy impact assessments mandatory, under certain threshold conditions.

Révision de la Directive : Appel à contributions

8 novembre 2010 : Suite à la publication de ses axes de modification de la Directive européenne sur la protection des données personnelles, la Commission européenne appelle toutes les parties prenantes et le public à formuler, d’ici le 15 janvier 2011, leurs commentaires sur les propositions concernant le réexamen de la directive.

Les contributions peuvent être déposées sur ce site internet.

Comme elle l’a déjà fait dans le cadre de son audition par le Sénat lors de l’étude de la Proposition de loi Détraigne-Escoffier, l’AFCDP va interroger ses Membres sur ces thèmes, définir sa position et contribuer en tant qu’organisation représentative des CIL.

Révision de la Directive : La Commission européenne dévoile ses axes stratégiques

4 novembre 2010 : La Commission européenne vient de dévoiler ses axes stratégiques concernant la révision de la Directive pour la protection des données personnelles : L’AFCDP se félicite de l’importance donnée aux Correspondants Informatique et Libertés (CIL).

La Commission européenne vient de publier ses axes stratégiques concernant la révision de la Directive 95/46/CE (relative à la protection des

personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données). Le texte qui reprend plusieurs points déjà évoqués publiquement par la Commissaire Vivian Reding.

La Directive nécessite une refonte : Elle a été conçue au début des années 1990, votée en 1995, transposée en France le 6 août 2004 sous la forme d’une révision de la Loi dite « Informatique et Libertés », bien avant l’adoption d’Internet par le plus grand nombre, l’irruption des réseaux sociaux, l’apparition ou la diffusion de technologies comme les puces RFID, la géolocalisation, le Cloud Computing, les réseaux sans fil, la vidéosurveillance, le profiling marketing…

L’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) accueille avec grand intérêt les mesures qui concernent la promotion de la fonction de Data Protection Officers. Elle y voit la reconnaissance du rôle essentiel que jouent les CIL (Correspondant Informatique et Libertés) dans la protection des données et une volonté forte de mettre en avant ce métier.

A ce stade, la Commission européenne envisage d’en rendre obligatoire la désignation, car cet expert est le plus apte à mener des évaluations de protection de la vie privée et des données personnelles (Privacy Assessments), ou à instiller les principes de Privacy by Design (prise en compte des règles «Informatique et Libertés» dès la conception d’un projet, d’un outil, d’une application).

Parmi les autres propositions projetées on relève plusieurs nouvelles règles qui participent du renforcement du droit des personnes et de la protection de leurs données personnelles :

  • clarification et renforcement du concept du « consentement des personnes » ;
  • renforcement du principe de data minimization (s’en tenir strictement aux seules données pertinentes et indispensables) ;
  • formalisation d’un « droit à l’oubli » (purge des données à l’issue de la durée de conservation) ;
  • définition standardisée des « données personnelles sensibles ».

D’autres mesures projetées visent une responsabilisation accrue des responsables de traitements ;

  • introduction du concept d’Accountability (« obligation de rendre des comptes »)
  • instauration d’une notification des violations aux traitements de données personnelles.

L’AFCDP a déjà accueilli favorablement le principe d’une telle disposition, en ce qu’elle accorde un rôle pivot au Correspondant en matière d’information sur les violations de données personnelles. Pour gérer cette nouvelle obligation, les responsables de traitement auront naturellement tendance à désigner un Correspondant Informatique et Libertés et le doteront de moyens à la mesure de sa mission. L’AFCDP a créé un groupe de travail ad hoc pour réfléchir aux modalités éventuelles de cette notification des violations aux traitements de données à caractère personnel et à ses impacts.

Plusieurs mesures évoquées par Bruxelles concernent les flux transfrontières : homogénéisation des règles les régissant au niveau européen, clarification des critères menant à juger du niveau de protection des données personnelles qu’apporte un pays tiers, redéfinition des clauses de protection dans le cadre d’accords internationaux (Binding Corporate Rules, Safe Harbor, etc.).

Sur ces points, afin d’accroitre l’attractivité de la désignation d’un CIL, l’AFCDP a souhaité qu’il soit accordé un avantage plus significatif aux organismes optant pour le Correspondant en permettant au responsable de traitement de bénéficier de l’exemption de déclaration, notamment lors de transferts de données ayant déjà été considérés comme encadrés par les autorités de protection des données.

La Commission européenne évoque également une clarification concernant l’applicabilité du texte quand les données personnelles sont hébergées dans un dispositif de type Cloud Computing, de même que l’avènement d’un processus de certification.

Enfin plusieurs propositions ont pour objectif une meilleure efficacité des autorités de contrôles, comme la CNIL pour la France, et de leur coopération : renforcement des pouvoirs (audits, contrôles, sanctions, possibilité d’agir en justice, etc.) des autorités de contrôles nationales ; renforcement des pouvoirs du groupe Article 29, voire la création d’une autorité de contrôle européenne.

Tous ces points avaient été évoqués lors d’un débat que l’AFCDP avait organisé le 16 septembre 2010, pour échanger sur l’avenir de la proposition de loi des sénateurs Détraigne et Escoffier, mais aussi de la refonte annoncée de la Directive européenne Data Protection Act.

Ces derniers mois, l’AFCDP avait déjà mobilisé ses membres dans le cadre des travaux engagés par la Secrétaire d’Etat Nathalie Kosciusko-Morizet sur le « droit à l’oubli ».

Pour le Président de l’AFCDP Monsieur Paul-Olivier Gibert, « La proposition de loi Détraigne Escoffier a eu le grand mérite de lancer le débat. En tant qu’association représentative des Correspondants Informatique et Libertés, l’AFCDP a été auditionnée par le rapporteur sénatorial et s’est exprimée sur plusieurs des propositions évoquées. Nous positionnons désormais notre association dans l’optique de la révision de la Directive européenne, qui débouchera à terme sur une modification de la Loi Informatique et Libertés ».

Concernant le Correspondant Informatique et Libertés, Paul-Olivier Gibert indique « qu’il est important de rendre attrayante sa nomination car la présence d’un CIL auprès d’un responsable de traitement est le meilleur moyen pour garantir le respect de la vie privée à l’heure numérique ». Sur la désignation obligatoire, la position est plus mesurée, « Associé à des efforts significatifs dans le domaine de la formation, voire de la certification des CIL, le volontariat possède bien des vertus ».

Dans le cadre de la refonte de ce texte fondateur que constitue la Directive européenne, en tant qu’association représentative de la profession de CIL, l’AFCDP va apporter au débat son expertise et sa vision. « Nous nous sommes déjà rapprochés de nos partenaires allemands et néerlandais afin de partager expériences et points de vue » ajoute le Président de l’AFCDP.

Les Membres AFCDP débattent de la révision de la Directive (16 septembre 2010)

Plus de quatre-vingt Membres se sont réunis au siège de CNP Assurances le 16 septembre 2010 pour débattre de la proposition de loi Détraigne-Escoffier, l’occasion de riches échanges.

Nous avons également bénéficié d’un état des lieux concernant le processus qui aboutira à une modification de la Directive européenne 95/46 CE.

Ont notamment été évoqués :

  • le principe d’Accountability(qui renforcerait la responsabilité des Responsables de traitement),
  • la notification des violations aux traitements de données personnes (mesure portée dans le Paquet Telecom par la Commissaire Vivian Reding),
  • l’agenda prévisible,
  • le rôle du Délégué à la protection des données personnelles.

Des Membres AFCDP qui ont été auditionnés à Bruxelles nous ont fait part d’informations précieuses.