La Directive 680-2016

Tandis que les personnes concernées du traitement de données disposent des droits dans ce
contexte, la directive impose au responsable de cette mission le respect de plusieurs

obligations générales pour la mise en œuvre du traitement de données et en vue d’assurer un
niveau plus élevé de protection des données personnelles. Premièrement, le responsable de
traitement est tenu de mettre en œuvre des mesures techniques et organisationnelles bien
établies pour le but d’assurer la conformité du traitement avec la présente directive, sous
réserve de la révision et de l’actualisation de ces mesures, le cas échéant.1 Lors de
l’élaboration de ces mesures, le responsable du traitement doit tenir compte de la nature, de la
portée, du contexte du traitement et, surtout, de tout risque potentiel pour les droits et libertés
des personnes physiques.2 En effet, ces mesures ont pour objectif la mise en œuvre des
principes notamment relatifs à la protection des données par exemple la minimisation des
données, ainsi que la garantie que seules les données nécessaires qui concernent chaque
finalité spécifique du traitement seront traitées. De même, cette obligation confiée au
responsable du traitement s’applique à la quantité des données, l’étendue de leur traitement,
leur durée de conservation, et à leur accessibilité. Enfin, ces mesures en question empêchent
l’accès aux données par les personnes physiques non autorisées.3
Il est à noter que lorsque deux ou plusieurs responsables du traitement déterminent

conjointement les moyens et les finalités du traitement, ils sont nommés « responsables
conjoints du traitement ». Ces derniers définissent leurs obligations en transparence afin de
répondre aux exigences de la dite directive et de protéger les droits des personnes concernées.4
En outre, le responsable du traitement fait l’objet d’appel à des sous-traitants qui présentent
des garanties suffisantes et qui n’agissent que sur la propre instruction du responsable du
traitement. Ainsi, les sous-traitants sont chargés d’aider ce dernier par tous les moyens
appropriés, de supprimer les données, de les renvoyer au responsable, ou de détruire toutes les
copies existantes, tout cela selon le choix du responsable.5
1
Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des
personnes physiques à l`égard du traitement des données à caractère personnel par les autorités compétentes
à des fins de prévention et de détection des infractions pénales, d`enquêtes et de poursuites en la matière ou
d`exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre
2008/977/JAI du Conseil, art 19.
2
Manuel de droit européen en matière de protection des données, Edition 2018, p.321, disponible sur le lien
suivant : https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-
protection_fr.pdf , consulté le 23/01/2023 à 14h24.
3
L’article 20 du directive 2016/680.
4
L’art 21 parag 1 du directive 2016/680.
5
L’article 22 du directive 2016/680.
Suivant les termes de la présente directive, les responsables de traitement doivent tenir un
registre des activités de traitement effectuées sous leur responsabilité. Si nécessaire, le
responsable du traitement et le sous-traitant mettent ces registres à la disposition de l'autorité
de contrôle.6 Il est à souligner qu’ils peuvent coopérer avec l’autorité de contrôle dans
l’exercice de ses missions7, et la consulter préalablement au traitement des données dans les
cas énumérés dans l’article 28.8
En vertu des dispositions de l’article 29 de la présente directive, les mesures mentionnées

dans l’article 19 précédemment garantissent un niveau de sécurité pour qu’il soit adapté aux
risques, particulièrement pour les données sensibles citées dans l’article 10 de directive. 9
D’autre part, en cas de violation de données à caractère personnel, le responsable du

traitement doit la notifier à l’autorité de contrôle dans les trois jours, en décrivant la nature de
la violation, ses conséquences probables, les catégories de données à caractère personnel
concernées et le nombre approximatif de personnes concernées touchées.10 De plus, la
personne concernée doit également être informée dans les meilleurs délais dans le cas où la
violation des données à caractère personnel est susceptible d’entrainer un risque élevé pour
ses droits et libertés.11
Par la suite, parmi les obligations incombant au responsable du traitement, il y a la

désignation du délégué à la protection des données à caractère personnel dans les conditions
prévues dans l’article 32 de cette directive, celle-ci est destinée à renforcer la responsabilité. 12
Il y a lieu de souligner que les Etats membres de la présente directive doivent veiller à ce
qu’une ou plusieurs autorités de contrôle nationales indépendantes surveillent l’application
des dispositions adoptées en vertu de la directive. Cette autorité est susceptible d’être la
même que celle établie au titre du RGPD 2016/679.13 Par contre, les Etats membres ont la
liberté de désignation d’une autre autorité tant qu’elle respecte le principe d’indépendance
adopté dans l’article 42 de la directive.
6
L’art 24 du directive 2016/680.
7
8
9
L’art 29 parag 1 du directive 2016/680.
10
Manuel de droit européen en matière de protection des données, op.cit. p.321, disponible sur le lien suivant :
https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_fr.pdf ,
consulté le 23/01/2023 à 16h15.
11
12
13
Les autorités de contrôle traitent également les réclamations introduites par toute personne au
sujet de la protection de ses droits et libertés à l’égard du traitement de données à caractère
personnel la concernant par des autorités publiques.14 En général, si une personne subit un
préjudice du fait de la violation des dispositions nationales adoptées par la directive, elle a
tout le droit de demander réparation du préjudice subi au responsable du traitement ou à toute
autre autorité nationale compétente.15 Sans oublier de mentionner que la présente directive
insiste que les personnes concernées doivent avoir accès à des voies de recours juridictionnels
effectifs auprès des autorités de contrôle, en cas de violation de leurs droits garantis par les
dispositions nationales mettant en œuvre cette directive.16
Pour finir, dans le cadre de sa pratique, la directive 2016/680 impose aux Etats membres de
déterminer les sanctions à appliquer en cas de non-respect de ses dispositions, et à prendre
toutes les mesures nécessaires afin d’assurer leur mise en œuvre, tout en prenant en compte
l’efficience, l’efficacité, l’équilibre et l’intensité de ces sanctions. 17
14
Manuel de droit européen en matière de protection des données, op.cit. p.325, disponible sur le lien suivant :
https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_fr.pdf ,
consulté le 24/01/2023 à 10h20.
15
16
17

La Directive 680-2016

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

La Directive 680-2016

Transféré par

Droits d'auteur :

Formats disponibles

Tandis que les personnes concernées du traitement de données disposent des droits dans ce

contexte, la directive impose au responsable de cette mission le respect de plusieurs

Il est à noter que lorsque deux ou plusieurs responsables du traitement déterminent

En vertu des dispositions de l’article 29 de la présente directive, les mesures mentionnées

D’autre part, en cas de violation de données à caractère personnel, le responsable du

Par la suite, parmi les obligations incombant au responsable du traitement, il y a la

Vous aimerez peut-être aussi