Vers un droit européen de la protection des données ?

Résumé

Le règlement général sur la protection des données (GDPR) a été adopté le 27 avril 20016 par le Parlement européen et entrera en application le 25 mai 2018. Ces travaux présentent les modifications auxquelles les organisations et les entreprises vont devoir se préparer. ©Electre 2017

Contributeur(s)
- Docquir, Benjamin. Directeur de publication/coordinateur/coordonnateur
Éditeur(s)
- Larcier
Date
- 2017
Langues
- Français
Description matérielle
- 1 vol. (175 p.) ; 24 x 16 cm
Collections
- UB3
Sujet(s)
Lieu
- Europe
ISBN
- 978-2-8044-9753-8
Indice
- 346.2 Droit du multimédia et de l'Internet
Quatrième de couverture
- Vers un droit européen de la protection des données ?
  Le Parlement européen a entériné le 14 avril 2016 une importante réforme des règles de protection des données à caractère personnel. Les principaux axes de cet ambitieux chantier législatif sont une harmonisation plus poussée au sein de l'Union, et une réponse aux multiples évolutions sociétales survenues depuis l'adoption de la directive européenne 95/46.
  Les règles nouvelles entreront en vigueur en 2018, mais toutes les organisations et entreprises doivent dès à présent se préparer à de nombreux changements. Ceux-ci concernent notamment les « notices vie privée » et l'information des consommateurs, mais la réforme n'est nullement confinée à ce seul domaine. Au contraire, le législateur de l'Union a consacré des obligations nouvelles très concrètes pour la plupart des entreprises et des organisations : tenir un registre interne des traitements, désigner un « délégué à la protection des données », conduire des études d'impact préalables, renforcer les mesures de sécurité, etc. Les entreprises et organisations doivent aussi anticiper une transformation profonde de leurs relations avec le régulateur. En effet, celui-ci sera désormais doté de pouvoirs de sanction et d'enquête très étendus. C'est pourquoi il a paru utile de présenter les principaux aspects du nouveau régime, dans une approche résolument pragmatique, en donnant la parole à des praticiens du secteur.
Tables des matières
- - Vers un droit européen de la protection des données ?
  - Benjamin Docquir
  - larcier
  - Sommaire5
  - Introduction générale7
  - Benjamin Docquir
  - Section 1. Contexte9
  - Section 2. Étapes d'adoption du Règlement12
  - Section 3. Structure du Règlement13
  - § 1. Dispositions générales14
  - § 2. Principes16
  - § 3. Responsable du traitement et sous-traitant16
  - § 4. Voies de recours, responsabilité et sanctions17
  - § 5. Dispositions relatives à des situations particulières de traitement17
  - § 6. Dispositions finales17
  - Section 4. Degré d'harmonisation au sein de l'Union18
  - Les autorités de contrôle dans le nouveau règlement général sur la protection des données : statut, coopération et gouvernance européenne21
  - Romain Robert
  - Section 1. Introduction22
  - Section 2. Les autorités de contrôle et leur indépendance23
  - § 1. Statut24
  - a) L'indépendance des autorités de contrôle dans la jurisprudence de la Cour24
  - b) La notion d'indépendance dans la Règlement26
  - § 2. Missions et pouvoirs28
  - Section 3. Les autorités compétentes, l'autorité chef de file et le mécanisme de « guichet unique »32
  - § 1. La détermination des autorités compétentes : position de la question32
  - § 2. L'autorité chef de file34
  - a) La notion de traitement transfrontalier34
  - b) La détermination de l'autorité chef de file36
  - § 3. La coopération entre autorités et le mécanisme de « guichet unique »40
  - a) La coopération entre autorités40
  - b) Le mécanisme de « guichet unique »42
  - c) Exceptions au mécanisme de guichet unique45
  - Section 4. Le comité européen de la protection des données48
  - § 1. Composition du comité et fonctionnement48
  - § 2. Missions du Comité et mécanisme de contrôle de la cohérence50
  - § 3. Les décisions du Comité et les recours contre ces dernières54
  - Section 5. Conclusions57
  - Règlement général sur la protection des données : les transferts internationaux de données59
  - Cédric Burton et Sarah Cadiot
  - Introduction60
  - Section 1. Principe général : interdiction des transferts internationaux de données personnelles61
  - § 1. Notion de transfert61
  - § 2. Les sous-traitants désormais également soumis aux règles relatives aux transferts62
  - Section 2. Transferts fondés sur une décision d'adéquation de la Commission européenne63
  - § 1. Modalités des décisions d'adéquation63
  - a) Décision d'adéquation couvrant un pays, un secteur ou une région64
  - b) Critères d'évaluation du caractère adéquat du niveau de protection64
  - c) Procédure d'adoption des décisions d'adéquation par la Commission65
  - d) Obligation d'examen périodique des décisions d'adéquation par la Commission67
  - e) Possibilité d'abroger, modifier ou suspendre une décision d'adéquation68
  - § 2. Influence de l'arrêt Schrems sur les dispositions du Règlement concernant les décisions d'adéquation68
  - a) Les autorités de contrôle peuvent examiner les transferts de données vers un pays tiers ayant fait l'objet d'une décision d'adéquation70
  - b) Seule la CJUE peut prononcer l'invalidation d'une décision d'adéquation70
  - c) Un niveau de protection des données « substantiellement équivalent »71
  - § 3. Privacy Shield : Safe Harbor 2.0 ?71
  - a) Safe Harbor71
  - b) Privacy Shield72
  - Section 3. Transferts sur base de garanties appropriées75
  - § 1. Règles d'entreprise contraignantes (« BCRs »)75
  - a) Principe des BCRs76
  - b) Groupes d'entreprises pouvant bénéficier des BCRs77
  - c) Contenu du BCRs77
  - § 2. Clauses contractuelles78
  - a) Clause types de protection des données adoptées par la Commission78
  - b) Clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission79
  - c) Clauses contractuelles dites ad hoc79
  - § 3. Codes de conduite et mécanisme de certification80
  - Section 4. Transferts fondés sur une dérogation81
  - § 1. Consentement explicite82
  - § 2. Intérêts légitimes impérieux poursuivis par le responsable du traitement84
  - Section 5. Limitations aux transferts de catégories spécifiques de données pour des motifs importants d'intérêts public85
  - Section 6. Obligation d'information concernant les transferts85
  - Section 7. Transferts ou divulgations non autorisés par le droit de l'UE86
  - Section 8. Sanctions en cas de non-conformité aux règles relatives aux transferts86
  - § 1. Le montant des amendes87
  - § 2. Critères de calcul du montant d'une amende87
  - Conclusion87
  - Les obligations de « compliance » des entreprises89
  - Benoit Van Asbroeck et Julien Debussche
  - Section 1. Introduction90
  - Section 2. Principes de protection des données92
  - § 1. Licéité, Loyauté et transparence93
  - § 2. Traitement licite93
  - a) Traitement sur la base du consentement de la personne concernée93
  - b) Traitement nécessaire à l'exécution d'un contrat avec la personne concernée ou à l'exécution de mesures préparatoires à un tel contrat96
  - c) Traitement nécessaire au respect d'une obligation légale96
  - d) Traitement nécessaire à la protection des intérêts vitaux d'une personne concernée ou d'une autre personne quand la personne concernée est incapable de consentir97
  - e) Traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement97
  - f) Traitement nécessaire aux fins d'intérêts légitimes97
  - g) Autres fondements98
  - § 3. Traitement des données d'enfants99
  - § 4. Le traitement de catégories particulières de données (« sensibles » et judiciaires)100
  - § 5. Loyauté et transparence102
  - § 6. Limitation des finalités103
  - § 7. Minimisation des données103
  - § 8. Exactitude104
  - § 9. Limitation de la conservation104
  - § 10. Intégrité et confidentialité104
  - Section 3. Gouvernance et responsabilité des données105
  - § 1.Vie privée dès la conception (« privacy-by-design »)107
  - § 2. Vie privée par défaut (« privacy-by-default »)108
  - § 3. Registres des activités de traitement108
  - § 4. Analyse d'impact sur la vie privée ( » AIVP »)110
  - § 5. Délégué à la protection des données (DPO)111
  - § 6. Sous-traitants et organisation contractuelle112
  - Section 4. Droits des personnes concernées114
  - § 1. Information115
  - § 2. Accès117
  - § 3. Rectification118
  - § 4. Effacement (« droit à l'oubli »)118
  - § 5. Limitation120
  - § 6. Portabilité121
  - § 7. Opposition123
  - § 8. Profilage et prise de décision automatisée124
  - a) Limitations à la prise de décision automatisée avec effets importants125
  - b) Profilage fondé sur le consentement explicite ou l'exécution contractuelle125
  - c) Autorisé par le droit126
  - d) Données sensibles126
  - Section 5. Sécurité des données à caractère personnel126
  - § 1. Obligations de gouvernance en matière de données126
  - § 2. Sécurité des standards de traitement de données127
  - a) Exigences de sécurité générale en vertu de RGPD127
  - b) Conditions générales en vertu de la Directive SRI128
  - i. Contexte128
  - ii. Champ d'application129
  - iii. Aperçu des nouvelles règles129
  - § 3. Notification de brèches130
  - a) Télécommunications130
  - b) Vie privée130
  - c) Sécurité des Réseaux et des services d'Information132
  - Section 6. Transferts de données132
  - Section 7. Conclusion132
  - Délégué à la protection des données : une nouvelle fonction, un métier en devenir135
  - Karen Rosier
  - Section 1. Pourquoi un délégué à la protection des données ?136
  - Section 2. Un délégué à la protection des données pour qui ?139
  - § 1. Les hypothèses de désignation prévues dans le Règlement139
  - a) Hypothèse liée à la qualité du responsable du traitement ou du sous-traitant139
  - b) Hypothèses liées à l'activité du responsable du traitement ou du sous-traitant140
  - i. Sur la notion d'activité de base141
  - ii. Sur la notion de traitement « à grande échelle »142
  - iii. Sur la notion « de suivi régulier et systématique »144
  - § 2. Possibilité d'imposer la désignation d'un délégué dans d'autres cas de figure145
  - § 3. Qui du responsable du traitement ou du sous-traitant doit désigner un délégué à la protection des données ?146
  - § 4. Quelles conséquences en cas de désignation d'un délégué dans des cas où il n'y pas d'obligation de le faire ?147
  - § 5. Exercice de la fonction de délégué à la protection des données pour plusieurs entités148
  - § 6. Incidence d'une application extraterritoriale du Règlement150
  - Section 3. Quel profil pour la fonction du délégué à la protection des données ?151
  - § 1. Compétences requises151
  - § 2. Absence de conflit d'intérêts155
  - Section 4. Quelles sont les particularités de la fonction et du statut juridique du délégué à la protection des données ?156
  - § 1. Statut de salarié ou d'indépendant156
  - § 2. Exigence d'une forme d'indépendance157
  - § 3. Protection contre des « représailles »159
  - § 4. Obligation de confidentialité160
  - § 5. Descriptif des missions du délégué à la protection des données161
  - § 6. Considérations méthodologiques162
  - Section 5. Quelles sont les obligations du responsable du traitement ou du sous-traitant liées à la désignation du délégué à la protection des données ?162
  - § 1. Publicité de la fonction163
  - § 2. Implication du délégué à la protection des données dans les questions de protection des données164
  - Section 6. Comment se répartissent les responsabilités des différents protagonistes ?165
  - Section 7. Qu'en est-il des autres personnes chargées de la protection des données166
  - Section 8. Quelles sont les sanctions encourues en cas du non-respect de leurs obligations par ceux qui désignent ou doivent désigner un délégué à la protection des données ?167
  - Section 9. Conclusions168
  - Table des matières169
Origine de la notice:
- Electre