Movatterモバイル変換

[0]ホーム
URL:

Aller au contenu
Wikipédial'encyclopédie libre
Rechercher

Règlement général sur la protection des données

Un article de Wikipédia, l'encyclopédie libre.
(Redirigé depuisRGPD)
Règlement général sur la protection des données
Données clés

Présentation
TitreRèglement duParlement européen et duConseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
Référence2016/679
Organisation internationaleDrapeau de l’Union européenne Union européenne
Territoire d'applicationÉtats membres de l'Union européenne
TypeRèglement de l'Union européenne
BrancheDroit de l'Union européenne, droit des données
Adoption et entrée en vigueur
Adoption
Promulgation
Entrée en vigueur et applicable à partir du

Lire en ligne

Règlement général sur la protection des données (sur Eur-lex)

modifier

Lerèglement général sur la protection des données (RGPD), officiellement appelé règlement UE 2016/679 du Parlement européen et du Conseil du relatif à la protection des personnes physiques à l'égard du traitement desdonnées à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, est unrèglement de l'Union européenne qui constitue le texte de référence en matière de protection desdonnées à caractère personnel[1]. Il renforce et unifie la protection des données pour les individus au sein de l'Union européenne.

Après quatre années de négociations législatives, ce règlement a été définitivement adopté par leParlement européen le. Ses dispositions sont directement applicables dans l'ensemble des27 États membres de l'Union européenne à compter du.

Ce règlement remplace ladirective sur la protection des données personnelles 95/46/CE adoptée en 1995.

Les principaux objectifs du RGPD sont d'accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l'augmentation du pouvoir des autorités de contrôle.

Contexte

[modifier |modifier le code]

En, laCommission européenne a proposé une réforme globale des règles en matière de protection des données personnelles dans l’Union européenne. Cette réforme comporte deux volets :

  • la mise à jour et la modernisation des principes énoncés dans la directive européenne de 1995 sur la protection des données, sous la forme de ce règlement général sur la protection des données[1]
  • la rédaction d'une nouvelle Directive relative à la protection des données à caractère personnel dans le cadre des activités policières et judiciaires[2].

L’objectif de ce nouveau règlement est de« redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises »[1].

Le Parlement européen a modifié ce règlement et l'a adopté le en1re lecture[3]. Les négociations se sont poursuivies entre les délégations de la Commission européenne, du Parlement européen et du Conseil de l'Union européenne et ont pris fin le. Le projet de règlement a été voté enCommission des libertés civiles, de la justice et des affaires intérieures (LIBE) le[4],[5]. La France a transposé le règlement dans une loi adoptée le[6]

Le règlement européen a été publié le dans leJournal officiel de l'Union européenne et entre en vigueur le vingtième jour suivant celui de sa publication[7].

Ce règlement, applicable à partir du, est« obligatoire dans tous ses éléments et directement applicable dans tout État membre »[8]. Lescandale Facebook-Cambridge Analytica, autour du vol, puis de l'analyse et de la réutilisation manipulatrices de données personnelles, à des fins électorales, aux Etats-Unis et au Royaume-Uni, éclate peu de temps avant sa mise en application. On constatera aussi l'existence d'entreprises commeAggregate IQ (entreprise-sœur, canadienne, deCambridge Analytica, créé par la même maison-mère) qui utilisent lebig data (y compris des données personnelles illégalement acquises sur les comptesFacebook de 87 millions d'internautes) pour produire des messages électoraux trompeurs et ciblés empêchant lelibre arbitre des électeurs de s'exercer[9],[10],[11].

Principales dispositions

[modifier |modifier le code]

Pour les entreprises, la conformité au RGPD, outre l'obligation légale, permet de gérer efficacement ses données, de contrôler les accès et d'en garantir la sécurité[12].

Le règlement contient des confirmations ou des évolutions, avec des principes clés, tels que[13],[14] :

Principales dispositions du règlement
Principe-clé et articleDescription
Le cadre harmoniséIl y a désormais un seul ensemble de règles relatives à la protection des données, directement applicable dans tous les États membres de l'Union européenne, atténuant ainsi la fragmentationactuelle[Quand ?] des lois nationales de protection des données.
L'application extra-territoriale (article 3)Le règlement s'inscrit dans les dispositions juridiques bénéficiant de l'extraterritorialité du droit européen. Il s'applique aux entreprises établies en dehors de l'Union européenne qui traitent les données relatives aux activités des organisations de l'UE. Les sociétés non européennes sont également soumises au règlement dès qu'elles ciblent les résidents de l'UE par le profilage ou proposent des biens et services à des résidents européens.
Le consentement « explicite » et « positif »Les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées, notamment via l'acceptation des cookies sur les sites internet et sur le contrôle de l'utilisation qui est faite des données que les internautes envoient dans les formulaires de contact. Par exemple, il n'est plus possible que la case « j'accepte de recevoir la newsletter » soit pré-cochée lors de l'envoi d'un formulaire de contact dans lequel l'e-mail est renseigné.
Transparence des informations et modalités de l'exercice des droits (article 12)Les obligations d'information et de réponses à l'exercice individuel des droits qui incombent aux responsables de traitements doivent être mises en œuvre de façon transparente (notamment : claire, simple, aisément accessible ;a priori écrite ; gratuite)[15].

Par principe, le délai de réponse à l’exercice de droits est fixé à un mois.La seule réserve étant le caractère excessif ou infondé de la demande.

Le droit d'accès (article 15)"La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel" ainsi que d'autres informations (notamment leurs finalités, destinataires, source et l'existence d'un profilage)[16].
Le droit de rectification (article 16)"La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes" ou incomplètes[17].

Ce droit est à rapprocher de l'obligation pour le responsable de traitement de traiter "des données exactes et, si nécessaire, tenues à jour". (article 5, d) du RGPD)

Le droit à l’effacement (version allégée dudroit à l'oubli) (article 17)La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs[18].

Il y a cependant quelques restrictions à ce droit, dans l'article 9 : si« la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques [...] »[19].

Le droit à la portabilité des données personnelles (article 20)Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé etlisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement. Lorsque la personne concernée exerce sondroit à la portabilité des données en application duparagraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.

Ce droit ne peut s’appliquer que si la base juridique du traitement (article 6 du RGPD) est le consentement ou le contrat.

Le droit d'opposition (article 21)"La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l'article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice."[20]
Le profilage (article 22)Toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. Il y a cependant certaines exclusions, par exemple si la décision est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement.
Les principes de « protection des données dès la conception » et de « sécurité par défaut » (article 25)Le règlement européen définit le principe de « protection des données dès la conception » (enanglais :Privacy by design) qui impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel. De plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé.
Les notifications en cas de fuite de données (article 33)En cas de risque pour les personnes concernées, les entreprises et les organismes sont tenus de notifier dès que possible l'autorité nationale de protection en cas de violations de données. Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, alors ces dernières doivent également en être informées. Cette notification doit être effectuée sans délai injustifié, et idéalement, dans les 72 heures suivant la découverte de la violation. Ce délai permet à l'autorité de prendre les mesures nécessaires pour évaluer la gravité de l'incident et de conseiller l'entreprise sur les étapes à suivre[21].
La possibilité de désigner undélégué à la protection des données[22] (article 37-1)Cette désignation est obligatoire lorsque :
  • « le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle » (article 37-1.a) ;
  • « les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées » (article 37-1.b) ;
  • « les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. » (article 37-1.c) Sont ainsi visées les données « sensibles » dont notamment celles relatives à l'état de santé des personnes, leur état de fragilité, ou encore les données à caractère personnel relatives aux infractions et condamnations.
Les missions dudélégué à la protection des donnéesLe délégué à la protection des données doit être associé à toutes les questions de protection des données à caractère personnel. Ses principales missions sont de contrôler le respect du règlement, de conseiller le responsable des traitements sur son application et de faire office de point de contact avec l'autorité de contrôle, de répondre aux sollicitations de personnes qui souhaitent exercer leurs droits. LaCNIL recommande que le délégué élabore et présente au niveau le plus élevé de l’organisme unrapport régulier (par exemple, annuel) sur ses activités.
L'étude d'impact sur la vie privée (article 35)Toutes les activités qui peuvent avoir des conséquences importantes en matière de protection de données personnelles doivent être précédées d’une étude d’impact sur la vie privée qui doit aussi prévoir les mesures pour diminuer les conséquences possibles des dommages potentiels relatifs la protection des données personnelles. Le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.
Responsabiliser les entreprisesLe principe de responsabilité fait également son apparition. Son objectif est de responsabiliser les entreprises, qui n’auront plus à contacter une autorité de contrôle pour demander une autorisation de traitement sur des données personnelles. En contrepartie, elles devront être en mesure à tout moment d'apporter les preuves qu’elles respectent le règlement[23].
Les sanctions plus importantes (article 83-6)Le règlement donne aux régulateurs le pouvoir d'infliger des sanctions financières allant jusqu'à 4 % du chiffre d'affaires mondial annuel d'une entreprise ou 20 millions d'euros (le montant le plus élevé étant retenu), en cas de non-respect.
La création duComité européen de la protection des données (articles 68 et suivants)La création du Comité européen de la protection des données (réincarnation de l'ancienarticle G29) qui a autorité dans tout ce qui concerne l’interprétation du Règlement.
L'élaboration de codes de conduite (article 40) et certifications (article 42)L'élaboration de codes de conduite et certifications destinés à contribuer à la bonne application du présent règlement est encouragée.

Application

[modifier |modifier le code]

Transposition

[modifier |modifier le code]

Étant unrèglement européen, le RGPD est obligatoirement et directement applicable à l’ensemble des pays membres de l'Union européenne. Il n'est pas nécessaire de transposer cette réglementation dans le droit national pour la rendre applicable. Le Comité européen de la protection des données (CEPD)[24] a été créé afin de permettre une coordination des actions des autorités de contrôle nationales de chaque pays européen et de veiller à la protection des données à caractère personnel.

Toutefois, le règlement prévoyait un renvoi à la réglementation nationale sur un certain nombre d'éléments et certaines dispositions nationales étaient en contradiction avec les nouvelles normes du règlement. Dans le cas de la France, cette dernière a adapté le droit interne, conformément au RGPD, par la loi du relative à la protection des données personnelles[25]. Par ailleurs, en prenant l'exemple de la France, cette loi donne à laCommission nationale de l'informatique et des libertés (CNIL) des missions supplémentaires et un pouvoir de contrôle et de sanction accrue en matière de protection des données[26].

Mise en œuvre

[modifier |modifier le code]

Les organisations doivent pouvoir garantir et prouver leur conformité en matière de protection des données personnelles. Pour les guider, la CNIL, l'autorité de surveillance numérique française, conseille six étapes afin de faire face à cette responsabilité accrue[27] :

Six étapes pour s'adapter au RGPD selon la CNIL
ÉtapeDétail
Étape 1 : Nommer undélégué à la protection des donnéesDisposer d'un pilote est indispensable pour gérer les données personnelles collectées par une entreprise. Celui-ci est chargé d'un rôle d'information, de conseil et de contrôle interne.
Étape 2 : Recenser les traitements des donnéesUn registre des traitements des données personnelles est une documentation qui permet de faire le bilan sur l'effet du règlement.
Étape 3 : Définir les actions correctivesAfin de respecter les règles en matière de droits et libertés personnels, il est nécessaire de déterminer quelles sont les actions prioritaires à mettre en œuvre. La priorisation est déterminée en fonction du niveau de risque et grâce au registre des traitements.
Étape 4 : Analyser les risquesIl convient de gérer au mieux les risques pouvant avoir des conséquences sur la sécurité des données.
Étape 5 : Établir des procédures internesLes procédures internes permettent de constamment assurer la protection des données personnelles. Il faut ici anticiper les événements éventuels pouvant affecter les traitements en cours.
Étape 6 : Tenir une documentationLa documentation permet de justifier la conformité d'une entreprise au règlement. Il est également essentiel de fréquemment reconsidérer et ajuster les actions et documents afin de garantir une protection des données durable.

Mise en conformité

[modifier |modifier le code]

Une enquête menée parHarvey Nash (en) etKPMG montre que les entreprises mondiales ne placent pas la mise en conformité avec le RGPD dans leurs priorités. Selon l'enquête, 38 % des entreprises mondiales qui ont répondu admettent qu'elles ne respecteraient probablement pas l'ensemble des dispositions du RGPD pour sa date d'entrée en vigueur le, bien qu'elles aient eu deux ans pour s'y préparer[28]. Les investissements des entreprises mondiales sont plutôt dirigés vers lacybersécurité à cause d'une augmentation descyberattaques. D'autre part, la conformité avec le RGPD tend à se compliquer face à une pénurie de personnel compétent dans le domaine desmégadonnées (big data)[29].

Non-conformité à la loi

[modifier |modifier le code]

Une étude de cinq universitaires sur les plates-formes de recueil de consentement (CMP) les plus utilisées par les dix-mille sites les plus visités du Royaume-Uni montre que neuf sur dix ne respectent même pas les conditions minimales du cadre légal (l'obligation d'un consentement explicite, la possibilité de refuser les cookies aussi facilement que de les accepter et l'absence de cases pré-cochées). Les choix de conception de ces outils influencent les décisions des internautes : en n'affichant pas de bouton « Tout refuser » au même niveau que « Tout accepter » (souvent en requérant de cliquer sur une deuxième, voire une troisième fenêtre), la probabilité d'obtenir leur consentement augmente ainsi de près d'un quart[30].

Augmentation du nombre de plaintes

[modifier |modifier le code]

Les particuliers ont connaissance de leurs nouveaux droits ce qui se traduit par une augmentation du nombre de plaintes à la suite de l'entrée en vigueur du RGPD. Le principal recours à la plainte porte sur le consentement du traitement des données personnelles[31]. L'associationla Quadrature du Net qui est une association de défense des libertés des citoyens sur internet, a déposé une plainte collective contre lesGAFAM[32]. De la même manière, l'ONGNone of Your Business (NOYB) a également eu recours à la plainte contre des acteurs dominant le marché des réseaux sociaux tels qu'Instagram etWhatsApp dès le afin« d'exiger un consentement libre pour rejeter l'idée d'une marchandisation de nos données personnelles »[33].

Sites inaccessibles aux européens

[modifier |modifier le code]

Plusieurs mois après l'entrée en application du RGPD, certains sites restent délibérément inaccessibles aux adresses IP en provenance de l'Union européenne ; c'est le cas d'un millier de sites d'information américains, et d'approximativement un tiers des cent plus importants d'entre eux[34]. La responsabilité de ce blocage incombe aux sites eux-mêmes, selon les uns, ou à la réglementation européenne, selon les autres[35]. C'est le cas des journaux en langue anglaise du groupe de presseTronc (Chicago Tribune,Los Angeles Times…) (États-Unis).

Deux tiers des cent plus importants sites d'information américains sont accessibles et se déclarent compatibles avec le RGPD[réf. souhaitée].

Consentir ou payer (murs de traceurs, oucookie wall)

[modifier |modifier le code]

Le modèle « consentir ou payer », aussi appelé « murs de traceurs » (cookie wall en anglais), est utilisé par certains sites et plateformes pour n'autoriser leur usage à sa clientèle que contre un consentement forcé ou un paiement. En France, le Conseil d'État a jugé le que l'exigence du consentement libre imposé par le RGPD ne suffit pas à interdire globalement ce modèle « consentir ou payer »[36]. Le, le CEPD a publié une décision concernant le modèle invitant à évaluer l'usage de ce dispositif selon la plateforme et le contexte[37].

Pays extérieurs offrant un niveau de protection compatible avec le RGPD

[modifier |modifier le code]

Le, à la suite de l'évolution de la législation suisse sur la protection des données le, la Commission européenne a jugé que laSuisse offre un niveau de protection des données adéquat, autorisant la circulation des données de l'Union européenne et de l'Espace économique européen vers la Suisse[38].

Sanctions

[modifier |modifier le code]

En cas de non-respect du RGPD, plusieurs sanctions peuvent être appliquées aux entreprises. L'article 58[39] du RGPD donne à laCommission nationale de l'informatique et des libertés (CNIL) le pouvoir de mettre en place des moyens dissuasifs afin de lutter contre les défauts de conformités se référant aux dispositions du RGPD.

Gradation des sanctions

[modifier |modifier le code]

Les sanctions entraînées par la CNIL sont dites graduelles car elles dépendront de la gravité des actions constatées et qui sont contraires au RGPD. Ces sanctions s'établissent en plusieurs étapes :

  1. Avertissement ou mise en demeure de l'entreprise accompagnés d'un rappel des règles concernant la mise en conformité[40] ;
  2. Injonction, ordre de cessation immédiate des violations constatées ;
  3. Limitation ou suspension temporaire des traitements ou des flux de données ;
  4. Sanctions administratives pour les entreprises qui n'ont pas respecté l'injonction.

Si les entreprises ou les organismes privés violent une des nouvelles normes du règlement, le RGPD prévoit des sanctions administratives et pénales. Ces sanctions ont surtout un but dissuasif du fait de leurs montants très élevés. L'analyse de la nature, la durée ainsi que de la gravité de la violation permettent de qualifier la sanction administrative qui sera applicable.

Sanctions administratives

[modifier |modifier le code]

L'article 83[41] du RGPD liste les conditions qui permettent à la CNIL d'appliquer une sanction administrative aux entreprises ou organismes qui auraient violé une des réglementations du règlement. La CNIL doit veiller à ce que les amendes qui seront imposées soient« effectives, proportionnées et dissuasives ».

L'une des premières amendes administratives peut atteindre 10 000 000 € ou, dans le cas d'une entreprise, jusqu'à 2 % de sonchiffre d'affaires annuel mondial de l'exercice précédent. Le montant retenu concerne toujours le montant de la sanction le plus élevé. Cette amende administrative est appliquée lorsque les manquements aux obligations du RGPD concernent[41] :

  • les obligations incombant au responsable du traitement et au sous-traitant ;
  • les obligations incombant à l'organisme de certification ;
  • les obligations incombant à l'organisme chargé du suivi des codes de conduite.

En cas d'infraction plus importante et liée au non-respect du RGPD, l'amende administrative pouvant être appliquée peut atteindre jusqu'à 20 000 000 € ou, dans le cas d'une entreprise, jusqu'à 2 % de son chiffre d'affaires annuel mondial de l'exercice précédent (le montant le plus important sera là aussi retenu), lorsque les violations concernent les dispositions suivantes de l'article 83[41] du RGPD (paragraphe 5) :

  • les principes de base d'un traitement, y compris les conditions applicables au consentement ;
  • les droits dont bénéficient les personnes concernées ;
  • toutes les obligations découlant du droit des États membres adoptées ;
  • le non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l'autorité de contrôle en vertu de l'article 58.

Unréseau social allemandKnuddels (de) a été condamné par l'autorité allemande de protection de données (leLandesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg) à une amende d'un montant de 20 000 euros à la suite d'une fuite de plus de 2,6 millions de données de ses utilisateurs. Le montant de l'amende a été limité du fait de la transparence du réseau social et sa rapidité pour mettre à jour la sécurité du réseau social[42].

De manière générale, au niveau européen, on constate toutefois que les consommateurs ne font remonter qu'un nombre très limité de plaintes auprès des autorités de protection des données. Une étude[43] publiée en estime le taux moyen de plaintes dans24 pays de l'Union Européenne à 3 pour 10 000. En Slovaquie, le taux de plaintes n'est que de 0,17 pour 10 000 alors qu'il atteint 8,6 en Irlande.

Sanctions pénales

[modifier |modifier le code]

L'article 84[41] du RGPD prévoit également aux États membres de mettre en place des sanctions pénales, afin de compléter le RGPD. Chaque État avait jusqu'au, pour notifier la Commission des dispositions légales qu'ils appliqueraient.

En France, selon l'Article 226-16 du Code pénal[44], les sanctions pénales applicables peuvent atteindre jusqu'à 300 000 € d'amende et entrainer jusqu'à 5 ans d'emprisonnement.

Dommages et intérêts etdéficit d'image

[modifier |modifier le code]

Des sanctions supplémentaires peuvent être ajoutées aux sanctions administratives et pénales, en cas de violation de l'une des dispositions du RGPD.En effet, toute personne lésée par le comportement des responsables ainsi que par un traitement des données non conforme au RGPD a la possibilité de saisir la justice ou des autorités administratives compétentes. Une action en justice peut entraîner le versement de dommages et intérêts.[réf. nécessaire]

Par ailleurs, le non-respect du RGPD peut affecter l'image et la réputation des entreprises ou organisations fautives[45].

Critiques et réponses (mises à jour)

[modifier |modifier le code]

La mise en œuvre du règlement général sur la protection des données a causé un bouleversement dans beaucoup d'entreprises, en premier lieu les grandes entreprises travaillant directement ou indirectement dans le secteur de ladonnée. Qu'il s'agisse desGAFAM, des entreprises du secteur publicitaire pour qui l'utilisation des données personnelles est une part essentielle de leur travail, du secteur public, ou encore desPME qui doivent gérer les données personnelles de leurs salariés. Si certaines entreprises commeApple se disent en accord avec le RGPD (mise en œuvre d'un bouton bleu qui montre à l'utilisateur quand Apple[46] utilise ses données, ainsi que des options « supprimer mes données personnelles/supprimer mon compte » sur leur site en ligne), d'autres comme Facebook[47] pourraient recevoir de lourdes amendes en raison de failles évidentes dans la protection des données de leurs utilisateurs.

De plus sur certains points, comme la vérification d'identité d'un utilisateur ayant oublié ses identifiants par un fournisseur, le règlement n'est pas précis, ce qui a pour conséquence une vérification insuffisante, facilitant le piratage[48] ou inversement des demandes de données plus sensibles (copie de passeport, par exemple) que celles détenues[49].

Compatibilité entre le RGPD et leCLOUD Act

[modifier |modifier le code]
Article détaillé :CLOUD Act.

LeCLOUD Act est la loi fédérale des États-Unis qui permet en particulier aux services judiciaires de contraindre les fournisseurs de services établis aux États-Unis, à fournir des données stockées sur des serveurs, qu'ils soient situés aux États-Unis ou dans des pays étrangers. Il entre en conflit avec le RGPD[50].

Selon Nathalie Devillier, professeure en droit du numérique à l'école de management de Grenoble,« LeCloud Act offre un cadre légal à la saisie de documents, de mails, en bref de toutes les communications captées à l'étranger par les serveurs des sociétés américaines »[51].

Cette législation américaine s'impose auxGAFAM comme aux entreprises étrangères (ex. :Orange,Altice) ayant une activité aux États-Unis[52]. Cela crée un risque de souveraineté sur des données sensibles. A titre d'exemple, lesdonnées de santé françaises sont hébergées parMicrosoft et le gouvernement français envisage de les rapatrier vers un opérateur de services français ou européen[53].

En 2020, un nouveau problème se pose en France avec l'hébergement, sur les serveurs d'Amazon, des attestations desprêts garantis par l'État (PGE) aux entreprises pendant la pandémie Covid-19, questionnant ainsi la notion desouveraineté numérique de la France et suscitant l'inquiétude quant à l'accès de ces informations[54]. SelonNathalie Goulet, sénatrice de l'Orne, ce marché a été attribué àAmazon sansappel d'offres parBpifrance[54].

Pour les données les plus sensibles des administrations, le gouvernement français a fait le choix d'un système de nuage informatique d'État. C'est-à-dire que l'infrastructure sera gérée par l'État lui-même sur des serveurs en nuages qui lui appartiennent et dont il a l'entière maîtrise[55].

Pour les données moins sensibles, l'État aura recours à un cloud géré par un prestataire extérieur mais sur des machines exclusivement dédiées[55].

Les autorités françaises travaillent à mettre au point un dispositif qui permettrait aux entreprises françaises d'être prévenues si la justice américaine cherche à accéder à certaines de leurs données stratégiques stockées dans les serveurs d'opérateurs américains[56].

Selon l'autrichienMaximillian Schrems, qui est parvenu à faire annuler, en juillet 2020, l'accord « Privacy Shield » relatif aux règles de transfert des données personnelles hors d'Europe,« jusqu'à présent, les entreprises américaines ont ignoré le droit européen chaque fois qu'il y a eu un conflit entre le droit de l'Union européenne et les lois des États-Unis […]. Il peut être nécessaire de construire des alternatives européennes »[57].

Compatibilité entre le RGPD et lesblockchains

[modifier |modifier le code]

Des acteurs, comme l'Observatoire et forumEU Blockchain[58],[59], ont soulevé le cas de certaines oppositions entre le RGPD et lesblockchains, construites commebase de données distribuée reposant le plus souvent sur de nombreux acteurs. En effet, ces technologies impliquent que les données enregistrées sur ces « chaines » ne puissent plus jamais être modifiées (dans un but d'infalsifiabilité et de transparence, n'autorisant que l'ajout de données). De prime abord, ceci va à l'encontre du « droit à l'effacement » garanti par le RGPD. Mais des stratégies telle que l'inscription de donnéeschiffrées dans le registre de la chaîne, avec possible destruction de laclé permettant leur déchiffrement, pourrait répondre au droit à l'oubli tel qu'envisagé dans le RGPD.
LaCNIL a suggéré cette stratégie comme solution[60]. D'autres questions persistent, comme l'identification des acteurs tels que définis par le RGPD dans le contexte d'uneblockchain publique où la participation au réseau est ouverte et ne requiert pas de permission.

En2025, face à la croissance et à la nature « distribuée » des blockchain et face à leur complexité informatique et mathématique et à leur gestion non-centralisée, le RGPD doit répondre à des défis spécifiques concernant d'une part le traitement et la protection des données personnelles (qui en est responsable devant la loi ?), et d'autre part les risques pour les droits et libertés des personnes concernées, qui doivent être évalués avec rigueur.Certaines menaces peuvent et doivent être atténuées en amont par des mesures techniques « dès la conception » (pour notamment respecter les principes de limitation de la conservation, de rectification et d'effacement), mais d'autres défauts sont plus difficiles à résoudre en raison des propriétés intrinsèques des blockchains (dont l'immutabilité et la transparence).Les lignes directrices[61], proposées et soumises à consultation (jusqu'au 9 juin 2025) par le CEPD, incluent un cadre d'analyse pour les organisations qui envisagent d'utiliser la blockchain, en précisant les considérations clés de conformité au RGPD selon les architectures choisies. Ces recommandations insistent sur la nécessité d'identifier clairement les rôles et responsabilités des acteurs impliqués, d'adopter des mesures organisationnelles et techniques adaptées, et de privilégier des techniques de minimisation des données personnelles (le stockage de données personnelles sur une blockchain ne devrait être envisagé que si des solutions avancées, telles que le chiffrement ou l'anonymisation, permettent de respecter les principes du RGPD). Ces lignes directrices[61] détaillent aussi les interactions entre les aspects techniques de la blockchain et les principes de l'article 5 du RGPD, insistant sur l'importance de la transparence, du droit à la rectification et à l'effacement. Enfin, elles recommandent la réalisation d'une analyse d'impact relative à la protection des données (AIPD) avant toute mise en œuvre, et proposent en annexe un ensemble de recommandations concrètes pour les projets de traitement reposant sur la blockchain[62].

Dans une mise à jour d'août 2025, la CNIL a confirmé que les participants ayant un droit d'écriture sur la chaîne et décidant de soumettre une donnée à la validation sont à considérer comme responsables car ce sont eux qui déterminent les finalités et les moyens de ce traitement[63], alors que les mineurs, qui se limitent à valider techniquement les blocs, ne seront pas considérés comme responsables du traitement. De même, les personnes physiques inscrivant des données dans un cadre strictement personnel sont exemptées, conformément à l'article 2 du RGPD.

Ces précisions s'inscrivent dans une dynamique plus large d'adaptation du RGPD aux technologies décentralisées (et à l'intelligence artificielle).En 2025, laCommission européenne a lancé une consultation sur l'intégration des principes de gouvernance distribuée dans le cadre réglementaire, avec pour objectif de clarifier les responsabilités et de renforcer la protection des droits individuels dans les environnements de type blockchain.

Compatibilité entre le RGPD et l'intelligence artificielle

[modifier |modifier le code]

Le RGPD en tant que socle juridique européen de la protection des données personnelles est confronté au développemnt rapide de nombreux grands systèmes d'IA (d'IA générative notamment), et dans ce contexte les autorités de régulation sont tantôt accusées d'être constamment en retard par rapport aux évolutions rapides de l'IA, ou de freiner l’entraînement des modèles d'IA[64].

En décembre 2024, leCEPD a publié un avis détaillé sur l'utilisation des données à caractère personnel dans le développement et le déploiement des modèles d'IA, soulignant que les principes du RGPD sont compatibles et même favorables à l'innovation responsable en matière d'IA.
Cet avis précise notamment les conditions dans lesquelles un modèle d'IA peut être considéré comme anonyme, les limites de l'intérêt légitime comme base juridique, et les conséquences du traitement de données personnelles illicites dans les phases d'entraînement.
Le CEPD y juge urgent de mieux évaluer les risques posés par l'IA pour les droits et libertés des personnes concernées, et recommande d'introduire en amont des mesures techniques et organisationnelles de « protection des données dès la conception et par défaut ».

En France, la CNIL a parallèlement publié (en février 2025) de nouvelles recommandations pour aider au développement de systèmes d'IA respectueux des droits fondamentaux, à l'occasion duSommet pour l'action sur l'intelligence artificielle à Paris ; ces recommandations visent à clarifier l'application du RGPD auxGrands modèles de langage et à tout système d'intelligence artificielle générative (IAg), en tenant compte des spécificités techniques de l'IA (qui inclut la mémorisation involontaire de données personnelles ou les risques liés aux « invites » (prompts). Ceci doit contribuer à la convergence du RGPD et du règlement européen sur l'intelligence artificielle (AI Act) entrant en vigueur progressivement entre 2024 et 2027.

En France, dans la continuité de travaux menés depuis 2017 sur les enjeux éthiques des algorithmes, et préparant l'entrée en vigueur du futur règlement européen sur l’intelligence artificielle (AI Act), la CNIL s'est dotée, le 16 mai 2023, d'un « Plan d'action pour l'IA ». Il comprend quatre volets : (1) appréhender le fonctionnement des systèmes d’IA et leurs impacts sur les personnes, notamment en matière de transparence, de biais algorithmiques et de sécurité des données ; (2) permettre et encadrer le développement d’IA conformes au RGPD, avec la publication de guides pratiques sur la réutilisation des données accessibles en ligne et la constitution de bases d’apprentissage ; (3) fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe, notamment via des dispositifs comme le « bac à sable » réglementaire ou des programmes d’accompagnement renforcé ; (4) auditer et contrôler les systèmes d’IA, en particulier ceux déployés dans des contextes sensibles tels que la vidéosurveillance augmentée[65].

Depuis, la CNIL a publié plusieurs séries de recommandations pour le développement de systèmes d’IA compatibles avec le RGPD (qui est un facteur de confiance pour les personnes, et desécurité juridique pour les entreprises)[66]. La CNIL rappelle que« Comme tout traitement de données personnelles, la collecte et l’utilisation de données via un système d’IA doit respecter le RGPD et les droits des personnes »[67]. Selon les recommandations 2025 de la CNIL,« l’idée reçue selon laquelle le RGPD empêcherait l’innovation en intelligence artificielle en Europe est fausse. En revanche, il faut avoir conscience que les bases d’entraînement comprennent parfois des « données personnelles » (...) sur des personnes réelles. L’utilisation de ces données fait courir des risques aux personnes, qu’il faut prendre en compte, afin de développer des systèmes d’IA dans des conditions qui respectent les droits et libertés des personnes, et notamment leur droit à la vie privée »[64]. Durant leur phase de développement, 3 types de systèmes sont particulièrement concernés selon la CNIL :

  • « les systèmes fondés sur l’apprentissage automatique (machine learning) »[64] ;
  • « les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (« general purpose AI ») »[64] ;
  • « les systèmes dont l’apprentissage est réalisé « une fois pour toutes » ou de façon continue, par exemple en utilisant des données d’utilisation pour son amélioration »[64].

RGPD et développement dubig data

[modifier |modifier le code]

À l'échelle mondiale, des auteurs[Qui ?] voient le RGPD comme une perte de compétitivité pour les entreprises européennes. En effet, celles-ci doivent pour beaucoup investir dans la protection des données personnelles, pendant qu'il n'existe aucun règlement similaire[Quand ?] dans des pays comme les États-Unis[68].

Individualisation du droit du numérique

[modifier |modifier le code]

Selon Ophélie Coelho, chercheuse en géopolitique du numérique, la « règle du consentement » peut être interprétée comme une individualisation du droit qui fait reposer sur l'utilisateur une charge importante, dans la mesure où c'est lui qui se retrouve responsable de l'évaluation et de lagestion des risques liés l'exploitation de ses données personnelles.

Sous couvert de placer le pouvoir décisionnel entre les mains de l'utilisateur, la charge du régulateur serait ainsi transférée vers l'individu, présumant que ce dernier est capable d'examiner minutieusement les modalités d'utilisation d'un service en ligne, d'en saisir toutes les subtilités et de prendre en conséquence une décision éclairée (en matière de gestion des cookies par exemple)[69]. Cette interprétation du consentement transforme la gestion des risques liés aux données personnelles en une responsabilité individuelle plutôt que collective ou institutionnelle, approche qui serait la conséquence directe des difficultés rencontrées par le régulateur dans l'encadrement de l'exploitation des données.

Condition de réutilisation des données recueillies en première instance

[modifier |modifier le code]

Une réutilisation des données est permise par le Droit européen, qui dispose que si l'entreprise ou l'organisation a collecté des données « sur la base d'un intérêt légitime, d'un contrat ou d'intérêts vitaux », celles-ci peuvent être utilisées à une autre fin si la « nouvelle finalité » est compatible avec celle définie initialement[70].

LaQuadrature du net fait partie des associations militant pour un amendement de l'article 6 du RGPD. Pour l'association, le flou entourant le régime des compatibilités de traitement permettrait « le recours au big data sans le consentement de la personne, si le responsable de traitement ou toute personne tierce estime ce recours justifié, notamment pour des raisons d'innovation »[71].

En France, le rapport duConseil Général de l'Économie (CGE) d'avril 2019[72] reconnaît également que la notion d'intérêt légitime est trop vague, et a demandé auComité Européen de la Protection des Données, organisme chargé d'examiner toute question portant sur l'application du RGPD et de publier des lignes directrices[73], de mettre en place des recommandations et des bonnes pratiques afin d'aiguiller les régulateurs dans l'application du droit. La demande de clarification concerne ici moins la protection des individus que la défense des entreprises européennes : pour le CGE, le manque de clarification de ce point nuit à l'innovation, puisque certaines entreprises européennes s'efforceraient de recueillir le consentement de leurs utilisateurs quand le cadre du RGPD leur permet déjà de les utiliser en phase de recherche et développement[72].

Effets économiques

[modifier |modifier le code]

Effet sur les entreprises européennes

[modifier |modifier le code]

La RGPD semble avoir, au moins dans sa phase d'établissement, un effet négatif sur lesrevenus et lesbénéfices des entreprises implantées dans l'Union européenne, essentiellement à cause de l'augmentation des coûts de conformité. Selon Giorgio Presidente, chercheur à l'université Bocconi, et Carl Benedikt Frey, professeur àOxford, les entreprises européennes devant se soumettre au RGPD ont vu leurs chiffres d'affaires diminuer de 2 % et leursrésultats nets de 8 %. Les petites et moyennes entreprises du secteur destechnologies de l'information ont été les plus négativement affectées, connaissant une baisse des bénéfices de 12 % à cause du RGPD. Toutefois, l'étude indique que cet effet peut être temporaire, le temps de s'adapter et d'investir[74]. À l'inverse, les géants américains des nouvelles technologies commeFacebook etGoogle se sont plus facilement mis en conformité vis-à-vis de la RGPD, ce qui a incité les publicitaires à davantage dépenser sur leurs plateformes que sur celles de plus petites entreprises[75].

D'autres travaux corroborent un effet négatif de la RGPD sur lacompétitivité et lacapacité à innover des entreprises européennes[76],[77].

Effet sur l'investissement

[modifier |modifier le code]

Selon Jia, Jin et Wagman (2018), la RGPD a causé une réduction de 17,6 % du nombre d'investissements encapital risque et une diminution de 39,6 % de la valeur des investissements en capital risque dans les entreprises sises en Union européenne. Cela pénaliserait fortement la capacité desstart-up en Europe à lever des fonds[78],[79].

Influence

[modifier |modifier le code]

En, une loi sur la protection des données inspirée du RGPD, laLoi californienne sur la protection de la vie privée des consommateurs[80], est entrée en vigueur en Californie[81].

Le RGPD a influencé la loi chinoise sur les données personnelles en ligne adoptée en août 2021[82].

Jurisprudence

[modifier |modifier le code]

Selon laCour de justice de l'Union européenne (CJUE), l'amende condamne un comportement fautif, comme une violation commise délibérément ou par négligence[83]. L'amende se calcule sur le chiffre d'affaires mondial dugroupe d'entreprises. Les États tiers, comme leRoyaume-Uni et lesÉtats-Unis, sont inclus dans le champ d’application territorial du règlement[84].

Notes et références

[modifier |modifier le code]
  1. ab etcConseil européen - 11 avril 2016.
  2. Conseil européen - 2016.
  3. Adoption du règlement.
  4. CécileDucourtieux et SarahBelouezzane, « Accord de principe de l’UE sur la protection des données personnelles en ligne »,Le Monde,‎(lire en ligne).
  5. Amaelle Guiton, « L'Europe s'accorde sur la protection des données personnelles »,Libération,‎(lire en ligne).
  6. Adoption du projet de loi (site de l'Assemblée Nationale)[PDF].
  7. IsabelleCantero, « Règlement européen sur la protection des données personnelles : un texte unique… mais non isolé »,L'Usine digitale,‎(lire en ligne).
  8. Règlement (UE) 2016/679 du Parlement européen et du Conseil du relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE),(lire en ligne).
  9. (en-US) « AggregateIQ Created Cambridge Analytica's Election Software, and Here’s the Proof », surGizmodo(consulté le).
  10. (en) « Revealed: how the UK’s powerful right-wing think tanks and Conservative MPs work together », suropenDemocracy(consulté le).
  11. (en) « Mapped: Whistleblower Accuses Nine Organisations of Colluding over Hard Brexit », surDeSmog UK(consulté le).
  12. « Les six grands principes du RGPD », surCNIL(consulté le).
  13. « De nouvelles règles sur la protection des données placent les citoyens aux commandes », Parlement européen,.
  14. Francis Donnat,Droit européen de l'internet : réseaux, données, services, Paris,LGDJ,, 207 p.(ISBN 978-2-275-06118-4),p. 65 ets.
  15. « Article 12 du RÈGLEMENT (UE) 2016/679 (règlement général sur la protection des données) », sureur-lex.europa.eu(consulté le)
  16. « Article 15 du RÈGLEMENT (UE) 2016/679 (règlement général sur la protection des données) », surEUR-Lex(consulté le)
  17. « Article 16 du RÈGLEMENT (UE) 2016/679 (règlement général sur la protection des données) », sureur-lex.europa.eu(consulté le)
  18. « CHAPITREIII - Droits de la personne concernée », surCommission nationale de l'informatique et des libertés(consulté le).
  19. Union européenne, « Article 9 - Traitement portant sur des catégories particulières de données à caractère personnel site=cnil.fr »,(consulté le).
  20. « Article 21 du RÈGLEMENT (UE) 2016/679 (règlement général sur la protection des données) », sureur-lex.europa.eu(consulté le)
  21. « Question », surCNIL(consulté le)
  22. « Devenir délégué à la protection des données personnelles », surCNIL,Commission nationale de l'informatique et des libertés.
  23. « Le RGPD donne des sueurs froides aux entreprises », surNexworld,(consulté le).
  24. (en) « European Data Protection Supervisor (EDPS) », sureuropean-union.europa.eu(consulté le).
  25. Loi du relative à la protection des données personnelles.
  26. « Description du Règlement général sur la protection des données »,Droit.fr - Référence juridique,‎(lire en ligne, consulté le).
  27. « RGPD : se préparer en 6 étapes », surCommission nationale de l'informatique et des libertés(consulté le).
  28. Byron Connolly, « 38 % des entreprises mondiales toujours pas conformes à RGPD »,Le Monde informatique,‎(lire en ligne, consulté le).
  29. Damien Leloup, « Protection des données : l’Irlande, maillon faible du RGPD »,Le Monde,‎(lire en ligne, consulté le).
  30. Cookies : le consentement biaisé des internautes,Les Échos,.
  31. Bertrand Lemaire, « La CNIL tire un premier bilan de l'application du RGPD »,Le Monde informatique,‎(lire en ligne, consulté le).
  32. Sylvain Rolland, « RGPD : Facebook cerné par plusieurs plaintes et actions en justice en Europe »,La Tribune,‎(lire en ligne, consulté le).
  33. Nicolas Certes, « RGPD : La Quadrature du Net dépose 5 plaintes contre les Gafa - Le Monde Informatique »,Le Monde informatique,‎(lire en ligne, consulté le).
  34. (en) « More than 1,000 U.S. news sites are still unavailable in Europe, two months after GDPR took effect »,Nieman Lab (ca),‎(lire en ligne, consulté le).
  35. « RGPD : des sites américains claquent la porte au nez des internautes européens »,L'Obs,‎(lire en ligne, consulté le).
  36. Commission nationale de l'informatique et des libertés, « Cookies et autres traceurs : le Conseil d’État rend sa décision sur les lignes directrices de la CNIL », surCommission nationale de l'informatique et des libertés,(consulté le)
  37. (en)Comité européen de la protection des données, « EDPB: ‘Consent or Pay’ models should offer real choice », surCommission européenne,(consulté le)
  38. GrégoireBarbey, « Les données européennes pourront continuer de circuler librement vers la Suisse »,Le Temps,‎(lire en ligneAccès libre)
  39. « CHAPITREVI - Autorités de contrôle indépendantes », surCommission nationale de l'informatique et des libertés(consulté le).
  40. « La procédure de mise en demeure », surCNIL(consulté le).
  41. abc etdLe règlement général sur la protection des données - RGPD(lire en ligne),chap. VIII (« Voies de recours, responsabilité et sanctions »), Article 84 - Sanctions.
  42. Dominique Filippone, « RGPD : 20 000 € d'amende pour le réseau social allemand Knuddels »,Le Monde informatique,‎(lire en ligne, consulté le).
  43. « Statistiques RGPD Europe : évolution du nombre de plaintes par pays », surConseils en marketing,(consulté le).
  44. Code pénal : Article 226-16(lire en ligne).
  45. « Non-conformité avec le RGPD : que risque-t-on ? », surylneo.com(consulté le).
  46. Philippe Rioux, « Le PDG d'Apple plaide pour la protection des données »,La Dépêche,‎(lire en ligne, consulté le).
  47. Anaïs Cherif, « Piratage : que risque Facebook avec le RGPD ? »,La Tribune,‎(lire en ligne, consulté le).
  48. Les déclarations d'impôts de plus de 2 000 contribuables français modifiées par un pirate, publié sur le site duMonde, le.
  49. En,James Pavur présente lerésultat d'une enquête, où il s'est fait passer pour une autre personne et a demandé à 150 entreprises une copie des données détenues.
  50. Leila Ackerman, « Cloud Act, l'offensive américaine pour contrer le RGPD », surportail-ie.fr,(consulté le)
  51. Alexandra Saviana, « Cloud Act" : malgré la RGPD, les Etats-Unis à l'assaut de vos données personnelles »,Marianne,(consulté le)
  52. Charles de Laubier, « L'Europe redoute la loi américaine sur les données »,Le Monde,(consulté le).
  53. « Données de santé : le gouvernement veut rapatrier le Health Data Hub, hébergé chez Microsoft », surLemonde.fr,(consulté le).
  54. a etbAlexandre Piquard, « Les partenariats entre Bpifrance et Amazon montrés du doigt »,Le Monde,(consulté le)
  55. a etbEmmanuel Cugny, « L'État envoie ses informatiques dans les nuages », surfrancetvinfo.fr,(consulté le)
  56. « Paris cherche à protéger les données stratégiques du Cloud Act US »,Le Figaro,(consulté le)
  57. Charles de Laubier, « Données personnelles : « Les entreprises américaines ne doivent plus ignorer le droit européen » », surLeMonde.fr,(consulté le)
  58. Nicolas Certes, « Le RGPD, un frein à lablockchain ? »,Le Monde informatique,‎(lire en ligne, consulté le).
  59. (en) « Blockchain And the GDPR,thematic report prepared by the European Union Blockchain Observatory and Forum" »[PDF],(consulté le).
  60. « Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données personnelles ? », surCNIL,(consulté le).
  61. a etbLignes directrices, EDPB, 2005, voir aussi lerésumé (use of blockchains, how to protect individual's personal data, 840 KB)
  62. « EDPB adopts guidelines on processing personal data through blockchains and is ready to cooperate with AI office on guidelines on AI Act and EU data protection law », surwww.edpb.europa.eu(consulté le)
  63. « La blockchain - Premiers éléments d'analyse de la CNIL », surCNIL,(consulté le).
  64. abcd ete« Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD », surwww.cnil.fr(consulté le)
  65. « Intelligence artificielle : le plan d’action de la CNIL », surwww.cnil.fr(consulté le)
  66. « Intelligence artificielle (IA) », surwww.cnil.fr(consulté le)
  67. « IA - Comment se mettre en conformité ? », surwww.cnil.fr(consulté le)
  68. (en) DerekHawkins, « Analysis | The Cybersecurity 202: Why a privacy law like GDPR would be a tough sell in the U.S. »,Washington Post,‎(ISSN 0190-8286,lire en ligne, consulté le).
  69. OphélieCoelho,Géopolitique du numérique: l'impérialisme à pas de géants, les Éditions de l'Atelier,(ISBN 978-2-7082-5402-2),p. 136-138
  70. (en) Commission Européenne, « Can we use data for another purpose ? », surSite europa.eu de la Commission Européenne
  71. La Quadrature du Net, « Exceptions à la nécessité du consentement dans Synthèse du règlement sur la protection des données », surwiki.laquadrature.net
  72. a etbConseil général des entreprises, « Le Règlement général sur la protection des données : quelles opportunités pour les entreprises françaises ? »,Rapport du Conseil général des entreprises,‎,p. 27-28(lire en ligne)
  73. Selon l'article 68 duRGPD.
  74. (en) « The GDPR effect: How data privacy regulation shaped firm performance globally », surCEPR,(consulté le).
  75. (en-US) NickKostov et SamSchechner, « GDPR Has Been a Boon for Google and Facebook »,Wall Street Journal,‎(ISSN 0099-9660,lire en ligne, consulté le).
  76. (en) GarrettJohnson,Economic Research on Privacy Regulation: Lessons from the GDPR and Beyond,coll. « Working Paper Series »,(DOI 10.3386/w30705,lire en ligne).
  77. (en) RebeccaJanßen, ReinholdKesler, Michael E.Kummer et JoelWaldfogel,GDPR and the Lost Generation of Innovative Apps,coll. « Working Paper Series »,(DOI 10.3386/w30028).
  78. (en)Jia, Ginger ZheJin et LiadWagman,The Short-Run Effects of GDPR on Technology Venture Investment,coll. « Working Paper Series »,(DOI 10.3386/w25248).
  79. (en) Simon Wilson, « Is the GDPR data protection law working? », surMoneyWeek,(consulté le).
  80. (en) « 2019 is the Year of… CCPA? [Infographic] », surThe National Law Review (en)(consulté le).
  81. (en) « 2019 is the Year of… CCPA? [Infographic] », surThe National Law Review,(consulté le)
  82. https://www.lefigaro.fr/flash-actu/la-chine-adopte-une-grande-loi-sur-les-donnees-personnelles-en-ligne-20210820
  83. Communiqué de presseno 184/23, direction de la Communication, Unité Presse et information, curia.europa.eu, Luxembourg, le 5 décembre 2023[lire en ligne lire en ligne].
  84. Julia Tar, Nils Bouckaert (trad.), « RGPD : la Cour de justice de l’UE précise les conditions d’imposition des amendes »,Euractiv, 6 décembre 2023[lire en ligne].

Voir aussi

[modifier |modifier le code]

Bibliographie

[modifier |modifier le code]

Articles connexes

[modifier |modifier le code]

Liens externes

[modifier |modifier le code]

Documentaire

[modifier |modifier le code]
Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Règlement_général_sur_la_protection_des_données&oldid=232388545 ».
Catégories :
Catégories cachées :
[8]ページ先頭
©2009-2026 Movatter.jp