Règlement européen sur la protection des données
Textes, commentaires et orientations pratiques
Alain Bensoussan
Céline Avignon
Virginie Bensoussan-Brulé
Chloé Torres
Isabelle Falque-Pierrotin
Larcier
Liste des auteursV
Avant proposVII
PréfaceIX
Liste des principales abréviationsXI
Résumé5
Partie 1. Règlement européen sur la protection des données39
Chapitre 1. Dispositions générales
39
Article 1 Objets et objectifs39
Article 2 Champ d'application matériel49
Article 3 Champ d'application territorial59
Article 4 Définitions65
Chapitre 2. Principes
77
Article 5 Principes relatifs au traitement des données à caractère personnel77
Article 6 Licéité du traitement85
Article 7 Conditions applicables au consentement94
Article 8 Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information99
Article 9 Traitement portant sur des catégories particulières de données à caractère personnel103
Article 10 Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions113
Article 11 Traitement ne nécessitant pas l'identification117
Chapitre 3. Droits de la personne concernée
120
Article 12 Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée120
Article 13 Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée125
Article 14 Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée132
Article 15 Droit d'accès de la personne concernée139
Article 16 Droit de rectification144
Article 17 Droit à l'effacement (« droit à l'oubli »)148
Article 18 Droit à la limitation du traitement154
Article 19 Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement157
Article 20 Droit à la portabilité des données159
Article 21 Droit d'opposition163
Article 22 Décision individuelle automatisée, y compris le profilage170
Article 23 Limitations175
Chapitre 4. Responsable du traitement et sous-traitant
184
Article 24 Responsabilité du responsable du traitement184
Article 25 Protection des données dès la conception et protection des données par défaut190
Article 26 Responsables conjoints du traitement195
Article 27 Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union198
Article 28 Sous-traitant201
Article 29 Traitement effectué sous l'autorité du responsable du traitement et du sous-traitant207
Article 30 Registre des activités de traitement209
Article 31 Coopération avec l'autorité de contrôle212
Article 32 Sécurité du traitement215
Article 33 Notification à l'autorité de contrôle d'une violation de données à caractère personnel221
Article 34 Communication à la personne concernée d'une violation de données à caractère personnel225
Article 35 Analyse d'impact relative à la protection des données229
Article 36 Consultation préalable236
Article 37 Désignation du délégué à la protection des données239
Article 38 Ponction du délégué à la protection des données245
Article 39 Missions du délégué à la protection des données248
Article 40 Codes de conduite253
Article 41 Suivi des codes de conduite approuvés259
Article 42 Certification261
Article 43 Organismes de certification265
Chapitre 5. Transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales
269
Article 44 Principe général applicable aux transferts...269
Article 45 Transferts fondés sur une décision d'adéquation275
Article 46 Transferts moyennant des garanties appropriées285
Article 47 Règles d'entreprise contraignantes289
Article 48 Transferts ou divulgations non autorisés par le droit de l'Union295
Article 49 Dérogations pour des situations particulières298
Article 50 Coopération internationale dans le domaine de la protection des données à caractère personnel303
Chapitre 6. Autorités de contrôle indépendantes
306
Article 51 Autorité de contrôle306
Article 52 Indépendance308
Article 53 Conditions générales applicables aux membres de l'autorité de contrôle312
Article 54 Règles relatives à l'établissement de l'autorité de contrôle315
Article 55 Compétence318
Article 56 Compétence de l'autorité de contrôle chef de file320
Article 57 Missions325
Article 58 Pouvoirs330
Article 59 Rapports d'activité336
Chapitre 7. Coopération et cohérence
339
Article 60 Coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées339
Article 61 Assistance mutuelle342
Article 62 Opérations conjointes des autorités de contrôle345
Article 63 Mécanisme de contrôle de la cohérence349
Article 64 Avis du comité351
Article 65 Règlement des litiges par le comité355
Article 66 Procédure d'urgence359
Article 67 Échange d'informations361
Article 68 Comité européen de la protection des données364
Article 69 Indépendance368
Article 70 Missions du comité370
Article 71 Rapports376
Article 72 Procédure378
Article 73 Président379
Article 74 Missions du président381
Article 75 Secrétariat383
Article 76 Confidentialité386
Chapitre 8. Voies de recours, responsabilité et sanctions
389
Article 77 Droit d'introduire une réclamation auprès d'une autorité de contrôle389
Article 78 Droit à un recours juridictionnel effectif contre une autorité de contrôle392
Article 79 Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant395
Article 80 Représentation des personnes concernées397
Article 81 Suspension d'une action399
Article 82 Droit à réparation et responsabilité400
Article 83 Conditions générales pour imposer des amendes administratives403
Article 84 Sanctions409
Chapitre 9. Dispositions relatives à des situations particulières de traitement
412
Article 85 Traitement et liberté d'expression et d'information412
Article 86 Traitement et accès du public aux documents officiels415
Article 87 Traitement du numéro d'identification national423
Article 88 Traitement de données dans le cadre des relations de travail427
Article 89 Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques430
Article 90 Obligations de secret434
Article 91 Règles existantes des églises et associations religieuses en matière de protection des données437
Chapitre 10. Actes délégués et actes d'exécution
440
Article 92 Exercice de la délégation440
Article 93 Comité443
Chapitre 11. Dispositions finales
448
Article 94 Abrogation de la directive 95/46/CE448
Article 95 Relation avec la directive 2002/58/CE450
Article 96 Relation avec les accords conclus antérieurement452
Article 97 Rapports de la Commission454
Article 98 Réexamen d'autres actes juridiques de l'Union relatifs à la protection des données456
Article 99 Entrée en vigueur et application457
Partie 2. Autres textes461
Directive des fichiers à finalité pénale461
Chapitre 1. Dispositions générales
482
Article 1 Objet et objectifs482
Article 2 Champ d'application482
Article 3 Définitions482
Chapitre 2. Principes
484
Article 4 Principes relatifs au traitement des données à caractère personnel484
Article 5 Délais de conservation et d'examen484
Article 6 Distinction entre différentes catégories de personnes concernées485
Article 7 Distinction entre les données à caractère personnel et vérification de la qualité des données à caractère personnel485
Article 8 Licéité du traitement485
Article 9 Conditions spécifiques applicables au traitement485
Article 10 Traitement portant sur des catégories particulières de données à caractère personnel486
Article 11 Décision individuelle automatisée486
Chapitre 3. Droits de la personne concernée
487
Article 12 Communication et modalités de l'exercice des droits de la personne concernée487
Article 13 Informations à mettre à la disposition de la personne concernée ou à lui fournir487
Article 14 Droit d'accès par la personne concernée488
Article 15 Limitations du droit d'accès488
Article 16 Droit de rectification ou d'effacement des données à caractère personnel et limitation du traitement489
Article 17 Exercice des droits de la personne concernée et vérification par l'autorité de contrôle490
Article 18 Droits des personnes concernées lors des enquêtes judiciaires et des procédures pénales490
Chapitre 4. Responsable du traitement et sous-traitant
490
Article 19 Obligations incombant au responsable du traitement490
Article 20 Protection des données dès la conception et protection des données par défaut491
Article 21 Responsables conjoints du traitement491
Article 22 Sous-traitant491
Article 23 Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant492
Article 24 Registre des activités de traitement492
Article 25 journalisation493
Article 26 Coopération avec l'autorité de contrôle493
Article 27 Analyse d'impact relative à la protection des données493
Article 28 Consultation préalable de l'autorité de contrôle494
Article 29 Sécurité du traitement494
Article 30 Notification à l'autorité de contrôle d'une violation de données à caractère personnel495
Article 31 Communication à la personne concernée d'une violation de données à caractère personnel496
Article 32 Désignation du délégué à la protection des données496
Article 33 Fonction du délégué à la protection des données497
Article 34 Missions du délégué à la protection des données497
Chapitre 5. Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales
497
Article 35 Principes généraux applicables aux transferts de données à caractère personnel497
Article 36 Transferts sur la base d'une décision d'adéquation498
Article 37 Transferts moyennant des garanties appropriées499
Article 38 Dérogations pour des situations particulières500
Article 39 Transferts de données à caractère personnel à des destinataires établis dans des pays tiers500
Article 40 Coopération internationale dans le domaine de la protection des données à caractère personnel501
Chapitre 6. Autorités de contrôle indépendantes
501
Article 41 Autorité de contrôle501
Article 42 Indépendance501
Article 43 Conditions générales applicables aux membres de l'autorité de contrôle502
Article 44 Règles relatives à l'établissement de l'autorité de contrôle502
Article 45 Compétence503
Article 46 Missions503
Article 47 Pouvoirs504
Article 48 Signalement des violations505
Article 49 Rapports d'activité505
Chapitre 7. Coopération
505
Article 50 Assistance mutuelle505
Article 51 Missions du comité506
Chapitre 8. Voies de recours, responsabilité et sanctions
507
Article 52 Droit d'introduire une réclamation auprès d'une autorité de contrôle507
Article 53 Droit à un recours juridictionnel effectif contre une autorité de contrôle507
Article 54 Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant507
Article 55 Représentation des personnes concernées507
Article 56 Droit à réparation508
Article 57 Sanctions508
Chapitre 9. Actes d'exécution
508
Article 58 Comité508
Chapitre 10. Dispositions finales
508
Article 59 Abrogation de la décision-cadre 2008/977/JAI508
Article 60 Actes juridiques de l'Union déjà en vigueur508
Article 61 Relation avec les accords internationaux conclus antérieurement dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière508
Article 62 Rapports de la Commission509
Article 63 Transposition509
Article 64 Entrée en vigueur510
Article 65 Destinataires510
Directive PNR (données des dossiers passagers)511
Chapitre 1. Dispositions générales
516
Article 1 Objet et champ d'application516
Article 2 Application de la présente directive aux vols intra-UE516
Article 3 Définitions517
Chapitre 2. Responsabilités des états membres
518
Article 4 Unité d'informations passagers518
Article 5 Délégué à la protection des données au sein de l'UlP518
Article 6 Traitement des données PNR518
Article 7 Autorités compétentes520
Article 8 Obligations imposées aux transporteurs aériens concernant les transferts de données520
Article 9 Échange d'informations entre États membres521
Article 10 Conditions d'accès aux données PNR par Europol521
Article 11 Transfert de données vers des pays tiers522
Article 12 Période de conservation et dépersonnalisation des données522
Article 13 Protection des données à caractère personnel523
Article 14 Sanctions524
Article 15 Autorité de contrôle nationale524
Chapitre 3. Mesures d'exécution
525
Article 16 Protocoles communs et formats de données reconnus525
Article 17 Comité525
Chapitre 4. Dispositions finales
526
Article 18 Transposition526
Article 19 Réexamen526
Article 20 Données statistiques526
Article 21 Rapports avec d'autres instruments527
Article 22 Entrée en vigueur527
Annexe 1 Données des dossiers passagers telles qu'elles sont recueillies par les transporteurs aériens
527
Annexe 2 Liste des infractions visées à l'article 3, point 9)
528
Décision Bouclier vie privée EU-US Privacy shield530
1. Introduction530
2. Le « bouclier de protection des données UE-États-Unis »532
3. Accès aux données à caractère personnel transférées dans le cadre du bouclier de protection des données UE-États-Unis et utilisation de ces données par les autorités publiques américaines544
4. Niveau adéquat de protection dans le cadre du bouclier de protection des données UE-États-Unis566
5. Action des autorités chargées de la protection des données et information de la commission567
6. Réexamen périodique de la constatation concernant le niveau adéquat de la protection568
7. Suspension de la décision d'adéquation569
Article 1570
Article 2570
Article 3570
Article 4570
Article 5571
Article 6571
Annexe 1 Lettre de Mme Penny Pritzker, secrétaire américaine au commerce
572
Annexe 2 Principes du cadre « bouclier de protection des données UE-États-Unis » publiés par le ministère américain du commerce
583
Annexe 3 Lettre de M. John Kerry, secrétaire d'État américain
607
Annexe 4 Lettre de Mme Edith Ramirez, présidente de la commission fédérale du commerce
614
Annexe 5 Lettre de M. Anthony Foxx, secrétaire américain aux transports
626
Annexe 6 Lettre de M. Robert Litt, conseiller général, Bureau du directeur du renseignement national
629
Annexe 7 Lettre de M. Bruce Swartz, sous- procureur général adjoint et conseiller aux affaires internationales (ministère américain de la justice)
650
Annexes655
Les considérants du règlement UE 2016/679
655
Les latitudes laissées aux États membres
693
Tableau de la jurisprudence européenne
695
Tableau de la jurisprudence française
696
Tableau des définitions
700
Tableau des schémas
702
Index703