Règlement général sur la protection des données

Le règlement général sur la protection des données (RGPD, ou

encore GDPR, de l'anglais «  General Data Protection Regulation  »), Règlement général sur la protection
officiellement appelé règlement UE 2016/679 du Parlement européen et des données
du Conseil du 27 avril 2016 relatif à la protection des personnes
physiques à l'égard du traitement des données à caractère personnel et à
la libre circulation de ces données, et abrogeant la directive 95/46/CE, Présentation
est un règlement de l'Union européenne qui constitue le texte de
1
référence en matière de protection des données à caractère personnel . Il Titre Règlement du Parlement
renforce et unifie la protection des données pour les individus au sein de européen et du Conseil relatif
l'Union européenne. à la protection des personnes
physiques à l'égard du
Après quatre années de négociations législatives, ce règlement a été traitement des données à
définitivement adopté par le Parlement européen le 27 avril 2016. Ses caractère personnel et à la
dispositions sont directement applicables dans l'ensemble des 27 États libre circulation de ces
membres de l'Union européenne à compter du 25 mai 2018.
données, et abrogeant la
Ce règlement remplace la directive sur la protection des données directive 95/46/CE
personnelles 95/46/CE adoptée en 1995. Référence 2016/679
Organisation  Union européenne
Les principaux objectifs du RGPD sont d'accroître à la fois la protection
internationale
des personnes concernées par un traitement de leurs données à caractère
personnel et la responsabilisation des acteurs de ce traitement. Ces Territoire États membres de l'Union
principes pourront être appliqués grâce à l'augmentation du pouvoir des d'application européenne
2
autorités de contrôle . Type Règlement de l'Union
européenne
Contexte Branche Droit de l'Union européenne,
droit de l'informatique
En janvier 2012, la Commission européenne a proposé une réforme Adoption et entrée en vigueur
globale des règles en matière de protection des données personnelles
dans l’Union européenne. Cette réforme comporte deux volets : Adoption 14 avril 2016
Promulgation 27 avril 2016
la mise à jour et la modernisation des principes énoncés
dans la directive européenne de 1995 sur la protection des Entrée en 24 mai 2016 et applicable à
données, sous la forme de ce règlement général sur la vigueur partir du 25 mai 2018
1
protection des données
Lire en ligne
la rédaction d'une nouvelle Directive relative à la protection
des données à caractère personnel dans le cadre des Règlement général sur la protection des données
3
activités policières et judiciaires .
(sur Eur-lex) (http://eur-lex.europa.eu/legal-content/
FR/TXT/?uri=CELEX:32016R0679)
L’objectif de ce nouveau règlement est de «  redonner aux citoyens le
contrôle de leurs données personnelles, tout en simplifiant
1
l’environnement réglementaire des entreprises » .
4
Le Parlement européen a modifié ce règlement et l'a adopté le 12 mars 2014 en 1re lecture . Les négociations se sont poursuivies
entre les délégations de la Commission européenne, du Parlement européen et du Conseil de l'Union européenne et ont pris fin le
15 décembre 2015. Le projet de règlement a été voté en Commission des libertés civiles, de la justice et des affaires intérieures
5, 6 7
(LIBE) le 17 décembre 2015 . La France a transposé le règlement dans une loi adoptée le 14 mai 2018

Le règlement européen a été publié le 4 mai 2016 dans le Journal officiel de l'Union européenne et entre en vigueur le vingtième
8
jour suivant celui de sa publication .
Ce règlement, applicable à partir du 25 mai 2018, est « obligatoire dans tous ses éléments et directement applicable dans tout État
9
membre » . Le scandale Facebook-Cambridge Analytica, autour du vol, puis de l'analyse et de la réutilisation manipulatrices de
données personnelles, à des fins électorales, aux Etats-Unis et au Royaume-Uni, éclate peu de temps avant sa mise en
application. On constatera aussi l'existence d'entreprises comme Aggregate IQ (entreprise-sœur, canadienne, de Cambridge
Analytica, créé par la même maison-mère) qui utilisent le big data (y compris des données personnelles illégalement acquises sur
les comptes Facebook de 87 millions d'internautes) pour produire des messages électoraux trompeurs et ciblés empêchant le libre
10, 11, 12
arbitre des électeurs de s'exercer .

Principales dispositions
13, 14
Le règlement contient des confirmations ou des évolutions, avec des principes clés, tels que  :

Principe-clé et article
Le cadre harmonisé
L'application extra-
territoriale (article 3)
Le consentement
« explicite » et « positif »
Transparence des
informations et modalités
de l'exercice des droits
(article 12)
Le droit d'accès (article
15)
Le droit de rectification
(article 16)
Le droit à l’effacement
(version allégée du droit à
l'oubli) (article 17)
Le droit à la portabilité des
données personnelles
(article 20)
Le droit d'opposition
(article 21)
Le profilage (article 22)
Les principes de
« protection des données
dès la conception » et de
« sécurité par défaut »
(article 25)
Les notifications en cas
de fuite de données
(article 33)
Principales dispositions du règlement
Description
Il y a désormais un seul ensemble de règles relatives à la protection des données, directement applicable
dans tous les États membres de l'Union européenne, atténuant ainsi la fragmentation actuelle des lois
nationales de protection des données.
Le règlement s'inscrit dans les dispositions juridiques bénéficiant de l'extraterritorialité du droit européen. Il
s'applique aux entreprises établies en dehors de l'Union européenne qui traitent les données relatives aux
activités des organisations de l'UE. Les sociétés non européennes sont également soumises au règlement
dès qu'elles ciblent les résidents de l'UE par le profilage ou proposent des biens et services à des
résidents européens.
Les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données
privées, notamment via l'acceptation des cookies sur les sites internet et sur le contrôle de l'utilisation qui
est faite des données que les internautes envoient dans les formulaires de contact. Par exemple, il n'est
plus possible que la case « j'accepte de recevoir la newsletter » soit pré-cochée lors de l'envoi d'un
formulaire de contact dans lequel l'e-mail est renseigné.
Les obligations d'information et de réponses à l'exercice individuel des droits qui incombent aux
responsables de traitements doivent être mises en œuvre de façon transparente (notamment : claire,
15
simple, aisément accessible ; a priori écrite ; gratuite) .
Par principe, le délai de réponse à l’exercice de droits est fixé à un mois. La seule
réserve étant le caractère excessif ou infondé de la demande.
"La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données
à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites
données à caractère personnel" ainsi que d'autres informations (notamment leurs finalités, destinataires,
16
source et l'existence d'un profilage) .
"La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la
17
rectification des données à caractère personnel la concernant qui sont inexactes" ou incomplètes .
Ce droit est à rapprocher de l'obligation pour le responsable de traitement de traiter
"des données exactes et, si nécessaire, tenues à jour". (article 5, d) du RGPD)
La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs
délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation
18
d'effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs . Ceci ne représente
[C'est-à-dire ?]
cependant pas un droit « absolu » .
Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant
qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible
par machine, et ont le droit de transmettre ces données à un autre responsable du traitement. Lorsque la
personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le
droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du
traitement à un autre, lorsque cela est techniquement possible.
Ce droit ne peut s’appliquer que si la base juridique du traitement (article 6 du RGPD)
est le consentement ou le contrat.
"La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation
particulière, à un traitement des données à caractère personnel la concernant fondé sur l'article 6,
paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du
traitement ne traite plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des
motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la
19
personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice."
Toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement
automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière
significative de façon similaire. Il y a cependant certaines exclusions, par exemple si la décision est
nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du
traitement.
Le règlement européen définit le principe de « protection des données dès la conception » (en anglais :
Privacy by design) qui impose aux organisations de prendre en compte des exigences relatives à la
protection des données personnelles dès la conception des produits, services et systèmes exploitant des
données à caractère personnel. De plus, le règlement consacre la nouvelle règle de la « sécurité par
défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé.
En cas de risque pour les personnes concernées, les entreprises et les organismes sont tenus de notifier
dès que possible l'autorité nationale de protection en cas de violations de données. Lorsqu'une violation de
données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des
personnes concernées, alors ces dernières doivent également en être informées.
 Les Entreprises seront obligées de signaler à une autorité compétente et aux personnes concernées tout
Obligation de l'entreprise
piratage de données à caractère personnel dans un délai de 72 heures au maximum, à partir de
en cas de cyberattaque 20
mai 2018 .
Cette désignation est obligatoire lorsque :

« le traitement est effectué par une autorité publique ou un organisme public, à l'exception des
juridictions agissant dans l'exercice de leur fonction juridictionnelle » (article 37-1.a) ;
« les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations
La possibilité de désigner de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier
un délégué à la protection et systématique à grande échelle des personnes concernées » (article 37-1.b) ;
21
des données
(article 37-1) « les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à
grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère
personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. »
(article 37-1.c) Sont ainsi visées les données « sensibles » dont notamment celles relatives à l'état
de santé des personnes, leur état de fragilité, ou encore les données à caractère personnel relatives
aux infractions et condamnations.

Le délégué à la protection des données doit être associé à toutes les questions de protection des données
Les missions du délégué à à caractère personnel. Ses principales missions sont de contrôler le respect du règlement, de conseiller le
la protection des données responsable des traitements sur son application et de faire office de point de contact avec l'autorité de
contrôle, de répondre aux sollicitations de personnes qui souhaitent exercer leurs droits.

L'étude d'impact sur la vie
privée (article 35)
Responsabiliser les
entreprises
Toutes les activités qui peuvent avoir des conséquences importantes en matière de protection de données
personnelles doivent être précédées d’une étude d’impact sur la vie privée qui doit aussi prévoir les
mesures pour diminuer les conséquences possibles des dommages potentiels relatifs la protection des
données personnelles. Le responsable du traitement consulte l'autorité de contrôle préalablement au
traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35
indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de
mesures pour atténuer le risque.
Le principe de responsabilité fait également son apparition. Son objectif est de responsabiliser les
entreprises, qui n’auront plus à contacter une autorité de contrôle pour demander une autorisation de
traitement sur des données personnelles. En contrepartie, elles devront être en mesure à tout moment
20
d'apporter les preuves qu’elles respectent le règlement .

Le règlement donne aux régulateurs le pouvoir d'infliger des sanctions financières allant jusqu'à 4 % du
Les sanctions plus
chiffre d'affaires mondial annuel d'une entreprise ou 20 millions d'euros (le montant le plus élevé étant
importantes (article 83-6)
retenu), en cas de non-respect.

La création du Comité
européen de la protection La création du Comité européen de la protection des données (réincarnation de l'ancien article G29) qui a
des données (articles 68 autorité dans tout ce qui concerne l’interprétation du Règlement.
et suivants)
L'élaboration de codes de
L'élaboration de codes de conduite et certifications destinés à contribuer à la bonne application du présent
conduite (article 40) et
règlement est encouragée.
certifications (article 42)

Application

Transposition

Étant un règlement européen, le RGPD est obligatoirement et directement applicable à l’ensemble des pays membres de l'Union
européenne. Il n'est pas nécessaire de transposer cette réglementation dans le droit national pour la rendre applicable. Le Comité
22
européen de la protection des données (CEPD) a été créé afin de permettre une coordination des actions des autorités de
contrôle nationales de chaque pays européen et de veiller à la protection des données à caractère personnel.

Toutefois, le règlement prévoyait un renvoi à la réglementation nationale sur un certain nombre d'éléments et certaines
dispositions nationales étaient en contradiction avec les nouvelles normes du règlement. Dans le cas de la France, cette dernière a
23
adapté le droit interne, conformément au RGPD, par la loi du 20 juin 2018 relative à la protection des données personnelles .
Par ailleurs, en prenant l'exemple de la France, cette loi donne à la Commission nationale de l'informatique et des libertés (CNIL)
24
des missions supplémentaires et un pouvoir de contrôle et de sanction accrue en matière de protection des données .

Mise en œuvre

Les organisations doivent pouvoir garantir et prouver leur conformité en matière de protection des données personnelles. Pour les
guider, la Commission nationale de l'informatique et des libertés (CNIL), l'autorité de surveillance numérique française, conseille
25
six étapes afin de faire face à cette responsabilité accrue  :
 Six étapes pour s'adapter au RGPD selon la CNIL
Étape Détail

Étape 1 : Nommer un délégué Disposer d'un pilote est indispensable pour gérer les données personnelles collectées par une
à la protection des données entreprise. Celui-ci est chargé d'un rôle d'information, de conseil et de contrôle interne.

Étape 2 : Recenser les
traitements des données
Étape 3 : Définir les actions
correctives
Un registre des traitements des données personnelles est une documentation qui permet de faire le
bilan sur l'effet du règlement.
Afin de respecter les règles en matière de droits et libertés personnels, il est nécessaire de déterminer
quelles sont les actions prioritaires à mettre en œuvre. La priorisation est déterminée en fonction du
niveau de risque et grâce au registre des traitements.

Étape 4 : Analyser les risques Il convient de gérer au mieux les risques pouvant avoir des conséquences sur la sécurité des données.

Étape 5 : Établir des
procédures internes
Étape 6 : Tenir une
documentation
Les procédures internes permettent de constamment assurer la protection des données personnelles. Il
faut ici anticiper les événements éventuels pouvant affecter les traitements en cours.
La documentation permet de justifier la conformité d'une entreprise au règlement. Il est également
essentiel de fréquemment reconsidérer et ajuster les actions et documents afin de garantir une
protection des données durable.

Mise en conformité

Une enquête menée par Harvey Nash (en) et KPMG montre que les entreprises mondiales ne placent pas la mise en conformité
avec le RGPD dans leurs priorités. Selon l'enquête, 38  % des entreprises mondiales qui ont répondu admettent qu'elles ne
respecteraient probablement pas l'ensemble des dispositions du RGPD pour sa date d'entrée en vigueur le 25 mai 2018, bien
26
qu'elles aient eu deux ans pour s'y préparer . Les investissements des entreprises mondiales sont plutôt dirigés vers la
cybersécurité à cause d'une augmentation des cyberattaques. D'autre part, la conformité avec le RGPD tend à se compliquer face
27
à une pénurie de personnel compétent dans le domaine des mégadonnées (big data) .

Non-conformité à la loi

Une étude de cinq universitaires sur les plates-formes de recueil de consentement (CMP) les plus utilisées par les dix-mille sites
les plus visités du Royaume-Uni montre que neuf sur dix ne respectent même pas les conditions minimales du cadre légal
(l'obligation d'un consentement explicite, la possibilité de refuser les cookies aussi facilement que de les accepter et l'absence de
cases pré-cochées). Les choix de conception de ces outils influencent les décisions des internautes : en n'affichant pas de bouton
« Tout refuser » au même niveau que « Tout accepter » (souvent en requérant de cliquer sur une deuxième, voire une troisième
28
fenêtre), la probabilité d'obtenir leur consentement augmente ainsi de près d'un quart .

Augmentation du nombre de plaintes

Les particuliers ont connaissance de leurs nouveaux droits ce qui se traduit par une augmentation du nombre de plaintes à la suite
de l'entrée en vigueur du RGPD. Le principal recours à la plainte porte sur le consentement du traitement des données
29
personnelles . L'association la Quadrature du Net qui est une association de défense des libertés des citoyens sur internet, a
30
déposé une plainte collective contre les GAFAM . De la même manière, l'ONG none of your business (NOYB) a également
eu recours à la plainte contre des acteurs dominant le marché des réseaux sociaux tels qu'Instagram et WhatsApp dès le
31
25 mai 2018 afin « d'exiger un consentement libre pour rejeter l'idée d'une marchandisation de nos données personnelles » .

Sites inaccessibles aux adresses IP de l'Union européenne

Plusieurs mois après l'entrée en application du RGPD, certains sites restent délibérément inaccessibles aux adresses IP en
provenance de l'Union européenne ; c'est le cas d'un millier de sites d'information américains, et d'approximativement un tiers
32
des cent plus importants d'entre eux . La responsabilité de ce blocage incombe aux sites eux-mêmes, selon les uns, ou à la
33
réglementation européenne, selon les autres . C'est le cas des journaux en langue anglaise du groupe de presse Tronc (Chicago
Tribune, Los Angeles Times…) (États-Unis).

Deux tiers des cent plus importants sites d'information américains sont accessibles et se déclarent compatibles avec le RGPD.
Certains sites comme Forbes vont même au-delà de l'obligation de pouvoir opter contre la personnalisation des publicités (opt-
out) et désactivent par défaut la personnalisation des publicités, afin que ce soit au lecteur d'opter pour (opt-in) [réf. souhaitée].

Sanctions
34
 34
En cas de non-respect du RGPD, plusieurs sanctions peuvent être appliquées aux entreprises. L'article 58 du RGPD donne à
la CNIL le pouvoir de mettre en place des moyens dissuasifs afin de lutter contre les défauts de conformités se référant aux
dispositions du RGPD.

Gradation des sanctions

Les sanctions entraînées par la CNIL sont dites graduelles car elles dépendront de la gravité des actions constatées et qui sont
contraires au RGPD. Ces sanctions s'établissent en plusieurs étapes :

Étape 1 : Avertissement ou mise en demeure de l'entreprise accompagnés d'un rappel des règles concernant
la mise en conformité ;
Étape 2 : Injonction, ordre de cessation immédiate des violations constatées ;
Étape 3 : Limitation ou suspension temporaire des traitements ou des flux de données ;
Étape 4 : Sanctions administratives pour les entreprises qui n'ont pas respecté l'injonction.

Si les entreprises ou les organismes privés violent une des nouvelles normes du règlement, le RGPD prévoit des sanctions
administratives et pénales. Ces sanctions ont surtout un but dissuasif du fait de leurs montants très élevés. L'analyse de la nature,
la durée ainsi que de la gravité de la violation permettent de qualifier la sanction administrative qui sera applicable.

Sanctions administratives
35
L'article 83 du RGPD liste les conditions qui permettent à la CNIL d'appliquer une sanction administrative aux entreprises ou
organismes qui auraient violé une des réglementations du règlement. La CNIL doit veiller à ce que les amendes qui seront
imposées soient « effectives, proportionnées et dissuasives ».

L'une des premières amendes administratives peut atteindre jusqu'à 10  000  000  € ou pour une entreprise, jusqu'à 2  % de son
chiffre d'affaires annuel mondial total de l'exercice précédent. Le montant retenu concerne toujours le montant de la sanction le
plus élevé. Cette amende administrative est appliquée lorsque les manquements aux obligations du RGPD sont de nature
35
suivante  :

obligations incombant au responsable du traitement et au sous-traitant ;

obligations incombant à l'organisme de certification ;
obligations incombant à l'organisme chargé du suivi des codes de conduite.

En cas d'infraction plus importante et liée au non-respect du RGPD, l'amende administrative pouvant être appliquée peut
atteindre jusqu'à 20  000  000  € ou dans le cas d'une entreprise, l'amende correspond à 4  % du chiffre d'affaires mondial (le
35
montant le plus important sera là aussi retenu). Les violations doivent concerner les dispositions suivantes de l'article 83 du
RGPD (paragraphe 5) :

les principes de base d'un traitement, y compris les conditions applicables au consentement ;
les droits dont bénéficient les personnes concernées ;
toutes les obligations découlant du droit des États membres adoptées ;
le non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension
des flux de données ordonnée par l'autorité de contrôle en vertu de l'article 58.

Un réseau social allemand Knuddels  (de) a été condamné par l'autorité allemande de protection de données (la Baden-
Württemberg Data Protection Authority) à une amende d'un montant de 20 000 euros à la suite d'une fuite de plus de 2,6 millions
de données de ses utilisateurs. Le montant de l'amende a été limité du fait de la transparence du réseau social et sa rapidité pour
36
mettre à jour la sécurité du réseau social .

De manière générale, au niveau européen, on constate toutefois que les consommateurs ne font remonter qu'un nombre très
37
limité de plaintes auprès des autorités de protection des données. Une étude publiée en novembre 2019 estime le taux moyen
de plaintes dans 24 pays de l'Union Européenne à 3 pour 10000. En Slovaquie, le taux de plaintes n'est que de 0,17 pour 10000
alors qu'il atteint 8,6 en Irlande.

Sanctions pénales
35
L'article 84 du RGPD prévoit également aux États membres de mettre en place des sanctions pénales, afin de compléter le
RGPD. Chaque État avait jusqu'au 25 mai 2018, pour notifier la Commission des dispositions légales qu'ils appliqueraient.
38
 38
En France, selon l'Article 226-16 du Code pénal , les sanctions pénales applicables peuvent atteindre jusqu'à 300  000  €
d'amende et entrainer jusqu'à 5 ans d'emprisonnement.

Dommages et intérêts et déficit d'image

D'autres sanctions supplémentaires peuvent être appliquées aux sanctions administratives et pénales, en cas de violation à l'une
des dispositions du RGPD. En effet, toute personne lésée par le comportement des responsables ainsi que par le traitement des
39
données non conforme au RGPD à la possibilité d'attaquer en justice l'organisme en faute . Cette action en justice peut
entraîner le versement de dommages et intérêts.
40
Par ailleurs, le non-respect du RGPD peut affecter l'image et la réputation des entreprises ou organisations fautives .

Critiques
La mise en œuvre du règlement général sur la protection des données a causé un bouleversement dans beaucoup d'entreprises, en
premier lieu les grandes entreprises travaillant directement ou indirectement dans le secteur de la donnée. Qu'il s'agisse des
GAFAM, des entreprises du secteur publicitaire pour qui l'utilisation des données personnelles est une part essentielle de leur
travail, du secteur public, ou encore des PME qui doivent gérer les données personnelles de leurs salariés. Si certaines entreprises
41
comme Apple se disent en accord avec le RGPD (mise en œuvre d'un bouton bleu qui montre à l'utilisateur quand Apple
utilise ses données, ainsi que des options « supprimer mes données personnelles/supprimer mon compte » sur leur site en ligne),
42
d'autres comme Facebook pourraient recevoir de lourdes amendes en raison de failles évidentes dans la protection des données
de leurs utilisateurs.

De plus sur certains points, comme la vérification d'identité d'un utilisateur ayant oublié ses identifiants par un fournisseur, le
43
règlement n'est pas précis, ce qui a pour conséquence une vérification insuffisante, facilitant le piratage ou inversement des
44
demandes de données plus sensibles (copie de passeport, par exemple) que celles détenues .

Compatibilité entre RGPD et le CLOUD Act

Le CLOUD Act est la loi fédérale des États-Unis qui permet en particulier aux services judiciaires de contraindre les fournisseurs
de services établis aux États-Unis, à fournir des données stockées sur des serveurs, qu'ils soient situés aux États-Unis ou dans des
pays étrangers. Il entre en conflit avec un règlement de la législation Européenne — le Règlement Général sur la Protection des
45
Données (RGPD) — entré en vigueur le 25 mai 2018 .

Selon Nathalie Devillier, professeure en droit du numérique à l'école du management de Grenoble, «  Le Cloud Act offre un
cadre légal à la saisie de documents, de mails, en bref de toutes les communications captées à l’étranger par les serveurs des
46
sociétés américaines » .

Cette législation américaine s'impose aux GAFAM comme aux entreprises étrangères (ex. : Orange, Altice) ayant une activité
47
aux États-Unis . Cela crée un risque de souveraineté sur des données sensibles. A titre d'exemple, les données de santé
françaises sont hébergées par Microsoft et le gouvernement français envisage de les rapatrier vers un opérateur de services
48
français ou européen .

En 2020, un nouveau problème se pose en France avec l’hébergement, sur les serveurs d’Amazon, des attestations des prêts
garantis par l'État (PGE) aux entreprises pendant la pandémie Covid-19, questionnant ainsi la notion de souveraineté numérique
49
de la France et suscitant l'inquiétude quant à l'accès de ces informations . Selon Nathalie Goulet, sénatrice de l'Orne, ce marché
49
a été attribué à Amazon sans appel d'offres par Bpifrance .

Pour les données les plus sensibles des administrations, le gouvernement français a fait le choix d’un système de nuage
informatique d’État. C’est-à-dire que l’infrastructure sera gérée par l’État lui-même sur des serveurs en nuages qui lui
50
appartiennent et dont il a l’entière maîtrise .

Pour les données moins sensibles, l'État aura recours à un cloud géré par un prestataire extérieur mais sur des machines
50
exclusivement dédiées .

Les autorités françaises travaillent à mettre au point un dispositif qui permettrait aux entreprises françaises d'être prévenues si la
justice américaine cherche à accéder à certaines de leurs données stratégiques stockées dans les serveurs d'opérateurs
51
américains .
Selon l'autrichien Maximillian Schrems qui est parvenu à faire annuler, en juillet 2020, l’accord « Privacy Shield » relatif aux
règles de transfert des données personnelles hors d’Europe, «  jusqu’à présent, les entreprises américaines ont ignoré le droit
européen chaque fois qu’il y a eu un conflit entre le droit de l’Union européenne et les lois des États-Unis […]. Il peut être
52
nécessaire de construire des alternatives européennes » .

Compatibilité entre RGPD et blockchains

53, 54
D'autres acteurs, comme l'Observatoire et forum EU Blockchain , ont soulevé certaines oppositions entre le RGPD et les
blockchains, des technologies de base de données distribuées reposant le plus souvent sur de multiples acteurs. En effet, ces
technologies impliquent généralement que les données enregistrées sur ces chaines ne puissent être modifiées a posteriori, dans
un but d'infalsifiabilité et de transparence, n'autorisant que l'ajout de données. De prime abord, ceci va à l'encontre du droit à
l'oubli évoqué dans le RGPD, qui nécessite a priori un droit à la suppression des données personnelles. Cependant, des
stratégies telle que l'inscription de données chiffrées dans le registre de la chaîne puis la destruction de la clé permettant leur
déchiffrement pourrait répondre au droit à l'oubli tel qu'envisagé dans le RGPD, la CNIL a par exemple suggéré qu'une telle
55
stratégie pourrait être une solution . D'autres questions restent en suspens, comme l'identification des acteurs tels que définis par
le RGPD dans le contexte d'une blockchain publique où la participation au réseau est ouverte et ne requiert pas de permission.

Développement du big data

À l'échelle mondiale, des auteurs [Qui ?] voient le RGPD comme une perte de compétitivité pour les entreprises européennes. En
effet, celles-ci doivent pour beaucoup investir dans la protection des données personnelles, pendant qu'il n'existe aucun
56
règlement similaire [Quand ?] dans des pays comme les États-Unis .

Individualisation du droit

Selon Ophélie Coelho, chercheuse indépendante, spécialiste en géopolitique du numérique, la règle de consentement, telle
qu’elle est appliquée, pourrait être considérée comme une individualisation du droit, puisque l’autorisation de transfert de
57
données est le résultat d’une contractualisation individuelle entre l’utilisateur et l’entreprise . La responsabilité se déplace ainsi
du régulateur à l’individu. On considère ainsi que l’utilisateur peut porter la charge de lire les conditions d’utilisation d’un service
numérique, qu’il en comprend tous les aspects, et qu’il peut ainsi faire un choix éclairé. Or, selon une étude réalisée par deux
58
universitaires américains en 2016 auprès de 543 sondés , 74  % des utilisateurs ne lisent pas les conditions générales
d’utilisations avant de les accepter, et la majorité de ceux qui ouvrent les contrats survolent le contenu.

Réutilisation des données recueillies en première instance

Une réutilisation des données est permise par la législation européenne, qui dispose que si l’entreprise ou l’organisation a collecté
des données « sur la base d’un intérêt légitime, d’un contrat ou d’intérêts vitaux », celles-ci peuvent être utilisées à une autre fin
57, 59
si la « nouvelle finalité » est compatible avec celle définie initialement .

Les notions d’«  intérêt légitime  » et de «  finalité  » définis dans les articles 5 et 6 sont très larges, et laissent une place
considérable à l’interprétation. Dans le cas des plateformes où les comptes clients sont associés à plusieurs fonctionnalités,
l’amélioration des services peut être considérée, selon les critères de la Commission, comme une finalité compatible. La
réutilisation des données peut alors recouvrir des analyses statistiques, du profilage algorithmique, qui vont générer des données
60
d’analyses utiles pour le positionnement de l’entreprise et son développement .

Cette seconde vie des données est renforcée par une consigne permissive : la Commission européenne précise que dans le cadre
de la recherche scientifique ou statistique, la réutilisation des données n’est même pas soumise à cette compatibilité de finalités.

La Quadrature du net fait partie des associations militant pour un amendement de l’article 6 du RGPD. Pour l’association, le flou
entourant le régime des compatibilités de traitement permettrait « le recours au big data sans le consentement de la personne, si le
61
responsable de traitement ou toute personne tierce estime ce recours justifié, notamment pour des raisons d'innovation » .
62
En France, le rapport du Conseil Général de l’Économie (CGE) d’avril 2019 reconnaît également que la notion d’intérêt
légitime est trop vague, et a demandé au Comité Européen de la Protection des Données, organisme chargé d'examiner toute
63
question portant sur l'application du RGPD et de publier des lignes directrices , de mettre en place des recommandations et des
bonnes pratiques afin d’aiguiller les régulateurs dans l’application du droit. La demande de clarification concerne ici moins la
protection des individus que la défense des entreprises européennes : pour le CGE, le manque de clarification de ce point nuit à
l’innovation, puisque certaines entreprises européennes s'efforceraient de recueillir le consentement de leurs utilisateurs quand le
62
cadre du RGPD leur permet déjà de les utiliser en phase de recherche et développement .

Influence
En janvier 2020, une loi sur la protection des données inspirée du RGPD, la Loi californienne sur la protection de la vie privée
64 65
des consommateurs , est entrée en vigueur en Californie .
66
Le RGPD a influencé la loi chinoise sur les données personnelles en ligne adoptée en août 2021 .

Notes et références
1. Conseil européen - 11 avril 2016.
2. « Le développement de l’intelligence artificielle limité par le RGPD », Le droit et l'intelligence artificielle,‎
24 novembre 2017 (lire en ligne (https://pierre-antoine-rizk.com/2017/11/24/le-developpement-de-lintelligence-a
rtificielle-limite-par-le-rgpd/), consulté le 12 avril 2018).
3. Conseil européen - 2016.
4. Adoption du règlement.
5. Cécile Ducourtieux et Sarah Belouezzane, « Accord de principe de l’UE sur la protection des données
personnelles en ligne », Le Monde,‎16 décembre 2016 (lire en ligne (https://www.lemonde.fr/pixels/article/2015/
12/16/accord-de-principe-de-l-ue-sur-la-protection-des-donnees-personnelles-en-ligne_4832848_4408996.htm
l)).
6. Amaelle Guiton, « L'Europe s'accorde sur la protection des données personnelles », Libération,‎
17 décembre 2016 (lire en ligne (http://www.liberation.fr/futurs/2015/12/17/l-europe-s-accorde-sur-la-protection-d
es-donnees-personnelles_1421077)).
7. Adoption du projet de loi (site de l'Assemblée Nationale)[PDF] (http://www.assemblee-nationale.fr/15/ta/tap0113.
pdf).
8. Isabelle Cantero, « Règlement européen sur la protection des données personnelles : un texte unique… mais
non isolé », L'Usine digitale,‎6 mai 2016 (lire en ligne (http://www.usine-digitale.fr/article/reglement-europeen-su
r-la-protection-des-donnees-personnelles-un-texte-unique-mais-non-isole.N389562)).
9. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte
présentant de l'intérêt pour l'EEE), 4 mai 2016 (lire en ligne (http://data.europa.eu/eli/reg/2016/679/oj/fra)).
10. (en-US) « AggregateIQ Created Cambridge Analytica's Election Software, and Here’s the Proof » (https://gizmod
o.com/aggregateiq-created-cambridge-analyticas-election-softw-1824026565), sur Gizmodo (consulté le
26 janvier 2021).
11. (en) « Revealed: how the UK’s powerful right-wing think tanks and Conservative MPs work together » (https://w
ww.opendemocracy.net/en/dark-money-investigations/revealed-how-uk-s-powerful-right-wing-think-tanks-and-c
onse/), sur openDemocracy (consulté le 13 février 2021).
12. (en) « Mapped: Whistleblower Accuses Nine Organisations of Colluding over Hard Brexit » (https://www.desmo
g.co.uk/2018/07/23/mapped-whistleblower-accuses-nine-organisations-colluding-over-hard-brexit), sur
DeSmog UK (consulté le 13 février 2021).
13. « De nouvelles règles sur la protection des données placent les citoyens aux commandes » (http://www.europar
l.europa.eu/news/fr/news-room/20151217IPR08112/Protection-des-donn%C3%A9es-les-citoyens-aux-comman
des), Parlement européen, 15 décembre 2015.
14. Francis Donnat, Droit européen de l'internet : réseaux, données, services, Paris, LGDJ, 2018, 207 p.
(ISBN 978-2-275-06118-4), p. 65 et s..
15. « Article 12 du RÈGLEMENT (UE) 2016/679 (règlement général sur la protection des données) » (https://eur-le
x.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&qid=1669979212653&from=EN#d1e2228
-1-1), sur eur-lex.europa.eu (consulté le 2 décembre 2022)
16. « Article 15 du RÈGLEMENT (UE) 2016/679 (règlement général sur la protection des données) » (https://eur-le
x.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&qid=1669979212653&from=EN#d1e2559
-1-1), sur eur-lex.europa.eu (consulté le 2 décembre 2022)
17. « Article 16 du RÈGLEMENT (UE) 2016/679 (règlement général sur la protection des données) » (https://eur-le
x.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&qid=1669979212653&from=EN#d1e2645
-1-1), sur eur-lex.europa.eu (consulté le 2 décembre 2022)
18. « CHAPITRE III - Droits de la personne concernée » (https://www.cnil.fr/fr/reglement-europeen-protection-donne
es/chapitre3#Article17), sur cnil.fr (consulté le 18 mai 2018).
19. « Article 21 du RÈGLEMENT (UE) 2016/679 (règlement général sur la protection des données) » (https://eur-le
x.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&qid=1669979212653&from=EN#d1e2849
-1-1), sur eur-lex.europa.eu (consulté le 2 décembre 2022)
20. « Le RGPD donne des sueurs froides aux entreprises » (https://nexworld.fr/le-rgpd-le-reglement-qui-donne-des-
sueurs-froides-aux-entreprises/), sur Nexworld, 21 septembre 2017 (consulté le 3 février 2020).
21. « Devenir délégué à la protection des données personnelles » (https://www.cnil.fr/fr/devenir-delegue-la-protectio
n-des-donnees), sur cnil.fr, CNIL.
22. (en) « European Data Protection Supervisor (EDPS) » (https://european-union.europa.eu/institutions-law-budge
t/institutions-and-bodies/institutions-and-bodies-profiles/edps_en), sur european-union.europa.eu (consulté le
8 février 2022).
23. Loi du 20 juin 2018 relative à la protection des données personnelles (https://www.legifrance.gouv.fr/affichTexte.
do?cidTexte=JORFTEXT000037085952).
24. « Description du Règlement général sur la protection des données », Droit.fr - Référence juridique,‎22 juin 2018
(lire en ligne (https://www.droit.fr/definition/definition-rgpd-reglement-general-protection-donnees/), consulté le
22 juin 2018).
25. « RGPD : se préparer en 6 étapes » (https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes), sur
CNIL (consulté le 25 février 2020).
26. Byron Connolly, « 38 % des entreprises mondiales toujours pas conformes à RGPD », Le Monde informatique,‎
6 juin 2018 (lire en ligne (https://www.lemondeinformatique.fr/actualites/lire-38-des-entreprises-mondiales-toujo
urs-pas-conformes-a-rgpd-71956.html), consulté le 25 novembre 2018).
27. Damien Leloup, « Protection des données : l’Irlande, maillon faible du RGPD », Le Monde,‎13 septembre 2021
(lire en ligne (https://www.lemonde.fr/pixels/article/2021/09/13/protection-des-donnees-l-irlande-maillon-faible-d
u-rgpd_6094434_4408996.html), consulté le 13 septembre 2021).
28. Cookies : le consentement biaisé des internautes (https://www.lesechos.fr/tech-medias/hightech/cookies-le-con
sentement-biaise-des-internautes-1162585), Les Échos, 14 janvier 2020.
29. Bertrand Lemaire, « La CNIL tire un premier bilan de l'application du RGPD », Le Monde informatique,‎
26 septembre 2018 (lire en ligne (https://www.lemondeinformatique.fr/actualites/lire-la-cnil-tire-un-premier-bilan-
de-l-application-du-rgpd-72961.html), consulté le 25 novembre 2018).
30. Sylvain Rolland, « RGPD : Facebook cerné par plusieurs plaintes et actions en justice en Europe », La Tribune,‎
9 novembre 2018 (lire en ligne (https://www.latribune.fr/technos-medias/internet/rgpd-facebook-cerne-par-plusie
urs-plaintes-et-actions-en-justice-en-europe-796914.html), consulté le 25 novembre 2018).
31. Nicolas Certes, « RGPD : La Quadrature du Net dépose 5 plaintes contre les Gafa - Le Monde Informatique »,
Le Monde informatique,‎30 mai 2018 (lire en ligne (https://www.lemondeinformatique.fr/actualites/lire-rgpd-la-qu
adrature-du-net-depose-5-plaintes-contre-les-gafa-71894.html), consulté le 25 novembre 2018).
32. (en) « More than 1,000 U.S. news sites are still unavailable in Europe, two months after GDPR took effect »,
Nieman Lab (ca),‎7 aout 2018 (lire en ligne (http://www.niemanlab.org/2018/08/more-than-1000-u-s-news-sites-
are-still-unavailable-in-europe-two-months-after-gdpr-took-effect/), consulté le 17 août 2018).
33. « RGPD : des sites américains claquent la porte au nez des internautes européens », L'Obs,‎28 mai 2018 (lire
en ligne (https://www.nouvelobs.com/monde/20180528.OBS7326/rgpd-des-sites-americains-claquent-la-porte-a
u-nez-des-internautes-europeens.html), consulté le 17 août 2018).
34. « CHAPITRE VI - Autorités de contrôle indépendantes | CNIL » (https://www.cnil.fr/fr/reglement-europeen-protec
tion-donnees/chapitre6#Article54), sur cnil.fr (consulté le 28 novembre 2018).
35. « CHAPITRE VIII - Voies de recours, responsabilité et sanctions » (https://www.cnil.fr/fr/reglement-europeen-pro
tection-donnees/chapitre8#Article84), sur cnil.fr (consulté le 29 novembre 2018).
36. Dominique Filippone, « RGPD : 20 000 € d'amende pour le réseau social allemand Knuddels - Le Monde
Informatique », Le Monde informatique,‎23 novembre 2018 (lire en ligne (https://www.lemondeinformatique.fr/act
ualites/lire-rgpd-20-000eteuro-d-amende-pour-le-reseau-social-allemand-knuddels-73531.html), consulté le
25 novembre 2018).
37. « Statistiques RGPD Europe : évolution du nombre de plaintes par pays » (https://www.intotheminds.com/blog/s
tatistiques-rgpd-europe/), sur Conseils en marketing, 29 novembre 2019 (consulté le 24 décembre 2019).
38. Code pénal : Article 226-16 (lire en ligne (https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITE
XT000006070719&idArticle=LEGIARTI000006417955&dateTexte=&categorieLien=cid)).
39. « Quelles sanctions en cas de non respect du RGPD ? », LegalPlace,‎23 mars 2018 (lire en ligne (https://www.l
egalplace.fr/guides/rgpd-sanction/#Non_respect_du_RGPD_et_risques_de_sanctions), consulté le
29 novembre 2018).
40. « Non-conformité avec le RGPD : que risque-t-on ? » (https://www.ylneo.com/2017/11/10/non-conformite-au-rgp
d/), sur ylneo.com (consulté le 29 novembre 2018).
41. Philippe Rioux, « Le PDG d'Apple plaide pour la protection des données », La Dépêche,‎24 octobre 2018 (lire
en ligne (https://www.ladepeche.fr/article/2018/10/24/2894511-le-pdg-d-apple-plaide-pour-la-protection-des-don
nees.html), consulté le 29 novembre 2018).
42. Anaïs Cherif, « Piratage : que risque Facebook avec le RGPD ? », La Tribune,‎1er octobre 2018 (lire en ligne (ht
tps://www.latribune.fr/technos-medias/piratage-que-risque-facebook-avec-le-rgpd-792325.html), consulté le
29 novembre 2018).
43. Les déclarations d’impôts de plus de 2 000 contribuables français modifiées par un pirate (https://www.lemonde.
fr/pixels/article/2019/08/20/les-declarations-d-impots-de-plus-de-2-000-contribuables-francais-modifiees-par-un-
pirate_5501091_4408996.html), publié sur le site du Monde, le 20 août 2019.
44. En aout 2019, James Pavur présente le résultat d'une enquête (https://www.01net.com/actualites/paradoxaleme
nt-le-rgpd-facilite-le-vol-de-donnees-personnelles-1748382.html), où il s'est fait passer pour une autre personne
et a demandé à 150 entreprises une copie des données détenues.
45. Leila Ackerman, « Cloud Act, l'offensive américaine pour contrer le RGPD » (https://portail-ie.fr/analysis/1902/cl
oud-act-loffensive-americaine-pour-contrer-le-rgpd), sur portail-ie.fr, 22 juin 2018 (consulté le
1er novembre 2020)
46. Alexandra Saviana, « Cloud Act" : malgré la RGPD, les Etats-Unis à l'assaut de vos données personnelles » (ht
tps://www.marianne.net/monde/cloud-act-malgre-la-rgpd-les-etats-unis-l-assaut-de-vos-donnees-personnelles),
Marianne, 19 juin 2018 (consulté le 1er novembre 2020)
47. Charles de Laubier, « L’Europe redoute la loi américaine sur les données » (https://www.lemonde.fr/economie/a
rticle/2020/10/11/l-europe-redoute-la-loi-americaine-sur-les-donnees_6055627_3234.html), Le Monde,
11 octobre 2020 (consulté le 2 novembre 2020).
48. « Données de santé : le gouvernement veut rapatrier le Health Data Hub, hébergé chez Microsoft » (https://ww
w.lemonde.fr/pixels/article/2020/10/09/donnees-de-sante-le-gouvernement-veut-rapatrier-le-health-data-hub-he
berge-chez-microsoft_6055394_4408996.html), sur Lemonde.fr, 9 octobre 2020 (consulté le 9 décembre 2021).
49. Alexandre Piquard, « Les partenariats entre Bpifrance et Amazon montrés du doigt » (https://www.lemonde.fr/ec
onomie/article/2021/02/05/les-partenariats-entre-bpifrance-et-amazon-montres-du-doigt_6068918_3234.html),
Le Monde, 5 février 2021 (consulté le 5 février 2021)
50. Emmanuel Cugny, « L’État envoie ses informatiques dans les nuages » (https://www.francetvinfo.fr/replay-radio/l
e-brief-eco/le-brief-eco-letat-envoie-ses-informatiques-dans-les-nuages_2811653.htm), sur francetvinfo.fr, 05
juillet2018 (consulté le 10 décembre 2021)
51. « Paris cherche à protéger les données stratégiques du Cloud Act US » (https://www.lefigaro.fr/flash-eco/paris-c
herche-a-proteger-les-donnees-strategiques-du-cloud-act-us-20190116), Le Figaro, 16 janvier 2019 (consulté le
1er novembre 2020)
52. Charles de Laubier, « Données personnelles : « Les entreprises américaines ne doivent plus ignorer le droit
européen » » (https://www.lemonde.fr/economie/article/2020/10/11/donnees-personnelles-les-entreprises-ameri
caines-ne-doivent-plus-ignorer-le-droit-europeen_6055628_3234.html), sur LeMonde.fr, 11 octobre 2020
(consulté le 10 décembre 2021)
53. Nicolas Certes, « Le RGPD, un frein à la blockchain ? - Le Monde Informatique », Le Monde informatique,‎
3 août 2018 (lire en ligne (https://www.lemondeinformatique.fr/actualites/lire-le-rgpd-un-frein-a-la-blockchain-72
500.html), consulté le 29 novembre 2018).
54. (en) « Blockchain And the GDPR,thematic report prepared by the European Union Blockchain Observatory and
Forum" » (https://www.eublockchainforum.eu/sites/default/files/reports/20181016_report_gdpr.pdf) [PDF],
16 octobre 2018 (consulté le 10 avril 2019).
55. « Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données
personnelles ? » (https://www.cnil.fr/fr/blockchain-et-rgpd-quelles-solutions-pour-un-usage-responsable-en-pres
ence-de-donnees-personnelles), sur cnil.fr, 24 septembre 2018 (consulté le 3 février 2022)
56. (en) Derek Hawkins, « Analysis | The Cybersecurity 202: Why a privacy law like GDPR would be a tough sell in
the U.S. », Washington Post,‎25 mai 2018 (ISSN 0190-8286 (https://www.worldcat.org/issn/0190-8286&lang=fr),
lire en ligne (https://www.washingtonpost.com/news/powerpost/paloma/the-cybersecurity-202/2018/05/25/the-cy
bersecurity-202-why-a-privacy-law-like-gdpr-would-be-a-tough-sell-in-the-u-s/5b07038b1b326b492dd07e83/),
consulté le 18 novembre 2020).
57. Ophélie Coelho, « Quand le décideur européen joue le jeu des Big techs… », Institut Rousseau,‎8 juin 2021, IV.
1. (lire en ligne (https://institut-rousseau.fr/quand-le-decideur-europeen-joue-le-jeu-des-big-techs/) )
58. (en) Jonathan A. Obar et Anne Oeldorf-Hirsch, « The Biggest Lie on the Internet: Ignoring the Privacy Policies
and Terms of Service Policies of Social Networking Services », The 44th Research Conference on
Communication, Information and Internet Policy,‎2016
59. (en) Commission Européenne, « Can we use data for another purpose ? » (https://ec.europa.eu/info/law/law-topi
c/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-we-use
-data-another-purpose_en), sur Site europa.eu de la Commission Européenne
60. (en) Commission Européenne, « « Article 5 - Principles relating to processing of personal data », « Article 6 -
Lawfulness of processing », REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE
COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data
and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
(Text with EEA relevance) » (https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&f
rom=EN#d1e1807-1-1), sur Site europa.eu de la Commission Européenne
61. La Quadrature du Net, « Exceptions à la nécessité du consentement dans Synthèse du règlement sur la
protection des données » (https://wiki.laquadrature.net/Synth%C3%A8se_du_r%C3%A8glement_sur_la_protec
tion_des_donn%C3%A9es#Le_consentement_de_la_personne_concern.C3.A9e_.28art._4.28.C2.A711.29.2C
_6.2C_7.2C_consid.C3.A9rant_32.29), sur wiki.laquadrature.net
62. Conseil général des entreprises, « Le Règlement général sur la protection des données : quelles opportunités
pour les entreprises françaises ? », Rapport du Conseil général des entreprises,‎avril 2019, p. 27-28 (lire en
ligne (https://www.economie.gouv.fr/files/files/directions_services/cge/RGPD.pdf))
63. Selon l'article 68 du RGPD (https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&fr
om=EN#d1e1807-1-1).
64. (en) « 2019 is the Year of… CCPA? [Infographic] » (https://www.natlawreview.com/article/2019-year-ccpa-infogr
aphic), sur The National Law Review (en) (consulté le 6 mars 2020).
65. (en) « 2019 is the Year of… CCPA? [Infographic] » (https://www.natlawreview.com/article/2019-year-ccpa-infogr
aphic), sur The National Law Review, 8 janvier 2019 (consulté le 30 janvier 2019)
66. https://www.lefigaro.fr/flash-actu/la-chine-adopte-une-grande-loi-sur-les-donnees-personnelles-en-ligne-
20210820

Voir aussi

Bibliographie
Conseil européen, « Le règlement général sur la protection des données » (http://www.consilium.europa.eu/fr/
policies/data-protection-reform/data-protection-regulation/), sur le site du Conseil européen, 11 avril 2016
(consulté le 11 avril 2016).
Conseil européen, « Protection des données à caractère personnel traitées à des fins répressives » (http://ww
w.consilium.europa.eu/fr/policies/data-protection-reform/data-protection-law-enforcement/), sur le site du
Conseil européen, 2016 (consulté le 11 avril 2016).
Parlement européen, « Protection des personnes physiques à l'égard du traitement des données à caractère
personnel » (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0212+0+
DOC+XML+V0//FR), sur le site du Parlement européen, 12 mars 2014 (consulté le 12 octobre 2017).

Articles connexes
Directive 95/46/CE sur la protection des données personnelles
Directive 2006/24/CE sur la conservation des données
Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications
électroniques
Vie privée et informatique
Journée européenne de la protection des données
Droit à l'oubli
Délégué à la protection des données (Data Protection Officer)
Platform for Privacy Preferences
Data Lineage
Effet Bruxelles
Cloud européen

Liens externes

Notices d'autorité : VIAF (http://viaf.org/viaf/24146824948007631105) ·

LCCN (http://id.loc.gov/authorities/no2017007011) · GND (http://d-nb.info/gnd/1105568555) ·
Israël (http://uli.nli.org.il/F/?func=find-b&local_base=NLX10&find_code=UID&request=987009828370505171) ·
WorldCat (http://www.worldcat.org/identities/lccn-no2017-007011)
Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de
 ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (https://eu
r-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679) (Version en PDF (https://eur-lex.euro
pa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679)) (Lien permanent (https://eur-lex.europa.eu/eli/r
eg/2016/679/oj)), sur EUR-Lex.
Règlement européen (RGPD) indexé et commenté (https://afcdp.net/reglement-europeen-rgpd-indexe-comm
ente/) (avec rapprochement des articles et des considérants), Association française des correspondants à la
protection des données à caractère personnel.
The general data protection regulation (http://www.consilium.europa.eu/fr/policies/data-protection-reform/data-
protection-regulation/), Conseil européen.
La protection des données : son règlement en Europe (RGPD) et son délégué (DPO) (https://dpo-rgpd.net/),
sur dpo-rgpd.net, par Samuel Tordjman.
Comprendre le règlement européen (https://www.cnil.fr/fr/comprendre-le-reglement-europeen), dossier, CNIL.

Documentaire
Élise Lucet, « Cash investigation : Nos données personnelles valent de l'or » (https://www.france.tv/2450927-
null.html), sur france.tv, France 2, 2021 (consulté le 19 mai 2021).

Ce document provient de « https://fr.wikipedia.org/w/index.php?

title=Règlement_général_sur_la_protection_des_données&oldid=204171041 ».