RGPD : Article de loi
Article 5 – principes au traitement des données à caractère personnel
1. Les données à caractère personnel doivent être :
a) traité de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence),
b) collectées pour des finalités déterminées, explicites est légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ses finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
d) exactes et, si nécessaire, tenues à jour, toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée d’excédent par celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durée plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mise en œuvre les mesures techniques et organisationnels appropriées requises par le présent règlement à fin de garantir les droits et libertés de la personne concernée (limitation de la conservation),
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;
2. Le responsable du traitement responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).
3. Le règlement CE no 45/2001 s’applique au traitement des données à caractère personnel par les institutions, organes et organismes de l’Union Européenne. Le règlement CE no 45/2001 et les autres actes juridiques de l’Union Européenne applicable audit traitement des données à caractère personnel sont adaptés aux principes et aux règles du présent règlement conformément à l’article 98.
4. Le présent règlement s’applique sans préjudice de la directive 2000/31/CE, et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires.
Article 30 du règlement européen sur la protection des données (RGPD)
1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectué sous leur responsabilité. Ce registre comporte toutes les informations suivantes :
a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
b) les finalités du traitement ;
c) une description des catégories de personnes concernées et des catégories des données à caractère personnel ;
d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiqués, y compris les destinataires dans des pays tiers ou des organisations internationales ;
e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visé à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ;
f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;
g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
2. Chaque sous-traitant ( le cas échéant le représentant du sous-traitant) doit tenir un registre de toutes les catégories d’activité de traitement effectuées pour le compte du responsable du traitement comprenant :
a) le nom et les coordonnées ou du sous-traitant et de chaque responsable du traitement pour le contre duquel le sous-traitant agit ainsi que, le cas échéant, le nom et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celle du délégué à la protection des données ;
b) les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visées à l’article 49, paragraphe 1, deuxième alinéa les documents attestant de l’existence des garanties appropriées ;
d) dans la mesure du possible, description générale des mesures de sécurité techniques et organisationnels visées à l’article 32, paragraphe 1
3. Les registres visés aux paragraphes 1 et 2 se présentant sous une forme écrite y compris la forme électronique.
4. Le responsable du traitement ou le sous-traitant le cas échéant, doit mettre le registre à la disposition de l’autorité de contrôle sur demande ;
5. Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent et susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’ils portent notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et des infractions visées à l’article 10.
Registre non renseigné : sanction
En cas d’omission pure et simple, l’Autorité pourra être amenée à délivrer une amende à l’encontre de l’entreprise ou de l’administration qui n’aura pas respecté cette clause du RGPD. La peine encourue s’élève à 10 millions d’€ ou 2 % du chiffre d’affaires mondial annuel. Sinon, des avertissements pourront aussi être prononcés à l’égard des contrevenants, lesquels ne seront pas non plus à l’abri d’une limitation temporaire ou permanente d’un traitement, voire d’un effacement de certaines données personnelles.
Article premier- Objet et objectifs
1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
3. La Libre circulation des données à caractère personnel au sein de l’Union Européenne n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Champ d’application matériel
1. Le présent règlement s’applique au traitement des données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à être inscrites dans un registre ou dans un fichier.
2. Le présent règlement ne s’applique pas aux traitements de données à caractère personnel effectué :
a) Dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union Européenne ;
b) Par les états membres dans le cadre d’activité qui relève du champ d’application du chapitre 2 du titre V du traité sur l’Union Européenne ;
c) Par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
d) Par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquête et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.