{"id":80,"date":"2016-05-16T13:01:32","date_gmt":"2016-05-16T11:01:32","guid":{"rendered":"http:\/\/ap-dp.org\/?p=80"},"modified":"2017-10-26T17:01:23","modified_gmt":"2017-10-26T15:01:23","slug":"remarques-generales-sur-le-reglement-general-relatif-a-la-protection-donnees-a-caractere-personnel","status":"publish","type":"post","link":"https:\/\/www.julienrossi.com\/blog\/2016\/05\/16\/remarques-generales-sur-le-reglement-general-relatif-a-la-protection-donnees-a-caractere-personnel\/","title":{"rendered":"Remarques g\u00e9n\u00e9rales sur le R\u00e8glement g\u00e9n\u00e9ral relatif \u00e0 la protection donn\u00e9es \u00e0 caract\u00e8re personnel"},"content":{"rendered":"<p style=\"text-align: justify;\" align=\"left\">Le r\u00e8glement 2016\/679\/UE, dit r\u00e8glement g\u00e9n\u00e9ral relatif \u00e0 la protection des donn\u00e9es, r\u00e9guli\u00e8rement cit\u00e9 selon son acronyme anglais GDPR (Generation Data Protection Regulation), a \u00e9t\u00e9 adopt\u00e9 d\u00e9finitivement par le Parlement europ\u00e9en le 14 avril 2016, au terme d&#8217;une proc\u00e9dure l\u00e9gislative qui aura dur\u00e9 plus de quatre ans. Pr\u00e9vu pour entrer en vigueur en 2018, et dot\u00e9 d&#8217;un effet direct en droit interne des Etats membres \u2013 puisqu&#8217;il s&#8217;agit d&#8217;un r\u00e8glement \u2013 le GDPR introduit un grand nombre de modifications dans le droit de la protection des donn\u00e9es. Ces \u00e9volutions sont tant des \u00e9volutions pratiques, sur des dispositions concr\u00e8tes, que des \u00e9volutions dans le sens et la philosophie du droit \u00e0 la protection des donn\u00e9es. Le but du pr\u00e9sent article est de faire le point sur les principales de ces \u00e9volutions, telles qu&#8217;elles r\u00e9sultent de la version d\u00e9finitivement adopt\u00e9e <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_1\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_1');\" >[1]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_1\" class=\"footnote_tooltip\" >R\u00e8glement (UE) 2016\/679 du Parlement europ\u00e9en et du Conseil du 27 avril 2016 relatif \u00e0 la protection des personnes physiques \u00e0 l&#8217;\u00e9gard du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel et&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_1');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_1').tooltip({ tip: '#footnote_plugin_tooltip_text_80_1', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>).<\/p>\n<p style=\"text-align: justify;\" align=\"left\"><!--more--><\/p>\n<p style=\"text-align: justify;\" align=\"left\">Le GDPR fait partie d&#8217;un lot : il a \u00e9t\u00e9 propos\u00e9 et adopt\u00e9 en m\u00eame temps qu&#8217;une directive, rempla\u00e7ant la d\u00e9cision-cadre 2008\/977\/JAI, r\u00e9glementant les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel dans le domaine de la coop\u00e9ration en mati\u00e8re de justice et de police. Il abroge la directive 95\/46\/CE qui, depuis 1995, harmonisait fortement la protection des donn\u00e9es personnelles dans l&#8217;Union europ\u00e9enne.<\/p>\n<p style=\"text-align: justify;\" align=\"left\">Entre 2012 <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_2\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_2');\" >[2]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_2\" class=\"footnote_tooltip\" >COM 2012-011<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_2').tooltip({ tip: '#footnote_plugin_tooltip_text_80_2', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script> et son adoption en 2016, la proposition de la Commission a connu de nombreuses p\u00e9rip\u00e9ties. Ainsi, pendant longtemps, il n&#8217;\u00e9tait m\u00eame pas clair que le format adopt\u00e9 soit une directive. Et de fait, si la directive 95\/46\/CE \u00e9tait une directive d&#8217;harmonisation compl\u00e8te, comme l&#8217;a rappel\u00e9 \u00e0 plusieurs reprises la Cour de justice de l&#8217;Union europ\u00e9enne (CJUE) <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_3\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_3');\" >[3]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_3\" class=\"footnote_tooltip\" >CJUE 24 novembre 2011 \u00ab\u00a0ASNEF et FECEMD contre Administracion del Estado\u00a0\u00bb Aff. C-468\/10 et C-469\/10, pt. 29<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_3').tooltip({ tip: '#footnote_plugin_tooltip_text_80_3', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>, le GDPR, vu le nombre de dispositions restant \u00e0 pr\u00e9ciser par le droit des Etats membres, ressemble fort \u00e0 un <span lang=\"fr-FR\">\u00ab\u00a0<\/span><span lang=\"fr-FR\">r\u00e8glement d&#8217;harmonisation minimal\u00a0\u00bb \u2026 tout en laissant, il faut le reconna\u00eetre, nettement moins de marge de man\u0153uvre aux l\u00e9gislateurs nationaux que l&#8217;ancienne directive. En outre, le GDPR a f\u00e9d\u00e9r\u00e9 autour de son processus d&#8217;adoption de nombreux groupes d&#8217;int\u00e9r\u00eats et organisations non gouvernementales. L&#8217;intense lobbying pr\u00e9c\u00e9dant son adoption a \u00e9t\u00e9 document\u00e9 sur le site Lobbyplag.eu <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_4\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_4');\" >[4]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_4\" class=\"footnote_tooltip\" ><a href=\"http:\/\/www.lobbyplag.eu\/\">www.lobbyplag.eu<\/a><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_4').tooltip({ tip: '#footnote_plugin_tooltip_text_80_4', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script> qui permet notamment de comparer les amendements propos\u00e9s par des eurod\u00e9put\u00e9s \u00e0 ceux propos\u00e9s par des groupes d&#8217;int\u00e9r\u00eats \u2013 que ces groupes soient favorables ou d\u00e9favorables \u00e0 une forte protection de la vie priv\u00e9e et des donn\u00e9es personnelles.<\/span><\/p>\n<p style=\"text-align: center;\" align=\"left\"><span lang=\"fr-FR\">L<\/span><span lang=\"fr-FR\">e <\/span><span lang=\"fr-FR\"><i>Data Protection Officer<\/i><\/span><\/p>\n<p style=\"text-align: justify;\" align=\"left\"><span lang=\"fr-FR\">Codifi\u00e9e pour la premi\u00e8re fois par le l\u00e9gislateur allemand<\/span><span lang=\"fr-FR\">, la fonction de d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel joue un r\u00f4le structurant, dans de nombreux pays europ\u00e9ens, dans le sous-syst\u00e8me de politique publique de protection des donn\u00e9es <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_5\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_5');\" >[5]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_5\" class=\"footnote_tooltip\" ><\/span><span lang=\"fr-FR\">Voir\u00a0: <a href=\"http:\/\/ap-dp.org\/fr\/les-institutions\/les-delegues-a-la-protection-des-donnees\/typologie-des-relations-avec-les-autorites-de-protection-des-donnees\/\">http:\/\/ap-dp.org\/fr\/les-institutions\/les-delegues-a-la-protection-des-donnees\/typologie-des-relations-avec-les-autorites-de-protection-des-donnees\/<\/a> <\/span><span lang=\"fr-FR\"><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_5').tooltip({ tip: '#footnote_plugin_tooltip_text_80_5', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>. <\/span><span lang=\"fr-FR\">A l&#8217;origine, la proposition COM 2012-011 de la Commission europ\u00e9enne pr\u00e9voyait une quasi-g\u00e9n\u00e9ralisation de l&#8217;obligation pour les responsables du traitement de plus de 250 employ\u00e9s de nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es. Etant donn\u00e9 la forte opposition de certains Etats \u2013 notamment du Royaume-Uni \u2013 \u00e0 cette g\u00e9n\u00e9ralisation, le texte adopt\u00e9 d\u00e9finitivement refl\u00e8te une position de compromis\u00a0:<\/span><\/p>\n<table style=\"border: 1px solid black;\">\n<tbody>\n<tr style=\"border: 1px solid black;\">\n<td style=\"border: 1px solid black;\">Art. 35 \u00a71 de la proposition de la Commission<\/td>\n<td style=\"border: 1px solid black;\">Art. 37 \u00a71 du texte adopt\u00e9<\/td>\n<\/tr>\n<tr style=\"border: 1px solid black;\">\n<td style=\"border: 1px solid black;\">1. Le responsable du traitement et le sous-traitant d\u00e9signent syst\u00e9matiquement un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es lorsque:<\/p>\n<p>a) le traitement est effectu\u00e9 par une autorit\u00e9 ou un organisme publics; ou<\/p>\n<p>b) le traitement est effectu\u00e9 par une entreprise employant 250 personnes ou plus; ou<\/p>\n<p>c) les activit\u00e9s de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur port\u00e9e et\/ou de leurs finalit\u00e9s, exigent un suivi r\u00e9gulier et syst\u00e9matique des personnes concern\u00e9es.<\/td>\n<td style=\"border: 1px solid black;\">1. Le responsable du traitement et le sous-traitant d\u00e9signent en tout \u00e9tat de cause un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es lorsque:<\/p>\n<p>a) le traitement est effectu\u00e9 par une autorit\u00e9 publique ou un organisme public, \u00e0 l&#8217;exception des juridictions agissant dans l&#8217;exercice de leur fonction juridictionnelle;<\/p>\n<p>b) les activit\u00e9s de base du responsable du traitement ou du sous-traitant consistent en des op\u00e9rations de traitement qui, du fait de leur nature, de leur port\u00e9e et\/ou de leurs finalit\u00e9s, exigent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle des personnes concern\u00e9es; ou<\/p>\n<p>c) les activit\u00e9s de base du responsable du traitement ou du sous-traitant consistent en un traitement \u00e0 grande \u00e9chelle de cat\u00e9gories particuli\u00e8res de donn\u00e9es vis\u00e9es \u00e0 l&#8217;article 9 et de donn\u00e9es \u00e0 caract\u00e8re personnel relatives \u00e0 des condamnations p\u00e9nales et \u00e0 des infractions vis\u00e9es \u00e0 l&#8217;article 10.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p style=\"text-align: justify;\" align=\"left\">Les Etats membres restent, en vertu du paragraphe 4 de l&#8217;art. 37 du GDPR, loisibles d&#8217;imposer d&#8217;autres obligations de nomination d&#8217;un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es.<\/p>\n<p style=\"text-align: justify;\" align=\"left\"><span lang=\"fr-FR\">La position du DPO s&#8217;en retrouve malgr\u00e9 tout\u00a0potentiellement affaiblie, surtout par rapport \u00e0 la proposition initiale de la Commission, d&#8217;autant plus que<\/span><span lang=\"fr-FR\">\u00a0nommer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es ne<\/span> <span lang=\"fr-FR\">va <\/span><span lang=\"fr-FR\">d\u00e9sormais<\/span><span lang=\"fr-FR\"> de pair avec aucune incitation. <\/span><span lang=\"fr-FR\">Par contraste<\/span><span lang=\"fr-FR\">, en France, depuis 2004, un responsable du traitement ayant d\u00e9sign\u00e9 un Correspondant informatique et libert\u00e9s (CIL) \u00e9tait exempt\u00e9 des formalit\u00e9s de d\u00e9claration pr\u00e9alable aupr\u00e8s de l&#8217;autorit\u00e9 de protection des donn\u00e9es. Or, <\/span><span lang=\"fr-FR\">cette obligation de d\u00e9claration aupr\u00e8s de l&#8217;autorit\u00e9 de contr\u00f4le dispara\u00eet avec le GDPR. Pire, l&#8217;article 83 du GDPR liste les circonstances att\u00e9nuantes ou aggravantes que l&#8217;autorit\u00e9 de contr\u00f4le doit prendre en compte avant de fixer le montant d&#8217;une sanction financi\u00e8re \u2026 et le fait d&#8217;avoir d\u00e9sign\u00e9 un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es ne figure pas dans cette liste <\/span><span lang=\"fr-FR\"><span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_6\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_6');\" >[6]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_6\" class=\"footnote_tooltip\" >Il est vrai n\u00e9anmoins qu&#8217;en soi, le fait pour les DPO de figurer sur cette liste aurait \u00e9t\u00e9 ambig\u00fc. En effet, dans certains pays \u2013 c&#8217;est le cas en Hongrie \u2013 les autorit\u00e9s de&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_6');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_6').tooltip({ tip: '#footnote_plugin_tooltip_text_80_6', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script><\/span><span lang=\"fr-FR\">.<\/span><\/p>\n<p style=\"text-align: justify;\" align=\"left\"><span lang=\"fr-FR\">L<\/span><span lang=\"fr-FR\">&#8216;effet du GDPR sur le m\u00e9tier de d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, une fois d\u00e9sign\u00e9, sera <\/span><span lang=\"fr-FR\">toutefois <\/span><span lang=\"fr-FR\">important dans la mesure o\u00f9 il harmonise son statut et son r\u00f4le aupr\u00e8s des responsables du traitement <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_7\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_7');\" >[7]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_7\" class=\"footnote_tooltip\" >voir les articles 38 et 39 du GDPR<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_7').tooltip({ tip: '#footnote_plugin_tooltip_text_80_7', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>.<\/span><\/p>\n<p style=\"text-align: center;\" align=\"left\"><span lang=\"fr-FR\">L<\/span><span lang=\"fr-FR\">a fin de la d\u00e9claration pr\u00e9alable<\/span><\/p>\n<p style=\"text-align: justify;\" align=\"left\"><span lang=\"fr-FR\">La fin de l&#8217;obligation, pour les responsables du traitement, de d\u00e9clarer aupr\u00e8s de l&#8217;autorit\u00e9 de contr\u00f4le les traitements de donn\u00e9es personnelles qu&#8217;ils comptent effectuer, a \u00e9t\u00e9 l&#8217;un des objectifs les plus vant\u00e9s du GDPR. Cette fin d&#8217;obligation est cependant en trompe-l&#8217;\u0153il pour les responsables du traitement.<\/span><\/p>\n<p style=\"text-align: justify;\" align=\"left\"><span lang=\"fr-FR\"> Rappelons que le traitement des d\u00e9clarations pr\u00e9alables est un \u00e9l\u00e9ment pesant tr\u00e8s fortement sur les petites autorit\u00e9s de protection des donn\u00e9es. L&#8217;autorit\u00e9 autrichienne de protection des donn\u00e9es \u00e9tait notamment, \u00e0 une \u00e9poque r\u00e9cente, oblig\u00e9e d&#8217;y consacrer presque l&#8217;int\u00e9gralit\u00e9 de ses <\/span><span lang=\"fr-FR\">tr\u00e8s maigres<\/span><span lang=\"fr-FR\"> ressources <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_8\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_8');\" >[8]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_8\" class=\"footnote_tooltip\" >voir\u00a0: ROSSI, Julien. Les autorit\u00e9s nationales de protection des donn\u00e9es personnelles dans l&#8217;Union Europ\u00e9enne, \u00e9tude des causes des manquements constat\u00e9s par la Cour de Justice de&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_8');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_8').tooltip({ tip: '#footnote_plugin_tooltip_text_80_8', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>. <\/span><span lang=\"fr-FR\">C&#8217;est dans ce contexte qu&#8217;il faut comprendre la fin de l&#8217;obligation pr\u00e9alable de d\u00e9claration <\/span><span lang=\"fr-FR\"><i>aupr\u00e8s des autorit\u00e9s de protection des donn\u00e9es <\/i><\/span><span lang=\"fr-FR\"><span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_9\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_9');\" >[9]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_9\" class=\"footnote_tooltip\" >Selon le consid\u00e9rant 89 du GDPR\u00a0: \u00ab\u00a0Ces obligations g\u00e9n\u00e9rales de notification sans distinction devraient d\u00e8s lors \u00eatre supprim\u00e9es et remplac\u00e9es par des proc\u00e9dures et des m\u00e9canismes&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_9');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_9').tooltip({ tip: '#footnote_plugin_tooltip_text_80_9', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script><\/span><span lang=\"fr-FR\">. Car les responsables du traitement \u2013 et, lorsqu&#8217;ils en ont d\u00e9sign\u00e9 un, le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es \u2013 devra continuer \u00e0 faire l&#8217;inventaire de ses traitements\u00a0:<\/span><\/p>\n<blockquote>\n<p style=\"text-align: justify; padding-left: 30px;\" align=\"left\"><span lang=\"fr-FR\">Article 30 Registre des activit\u00e9s de traitement 1. Chaque responsable du traitement et, le cas \u00e9ch\u00e9ant, le repr\u00e9sentant du responsable du traitement tiennent un registre des activit\u00e9s de traitement effectu\u00e9es sous leur responsabilit\u00e9. Ce registre comporte toutes les informations suivantes: a) le nom et les coordonn\u00e9es du responsable du traitement et, le cas \u00e9ch\u00e9ant, du responsable conjoint du traitement, du repr\u00e9sentant du responsable du traitement et du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es; b) les finalit\u00e9s du traitement; c) une description des cat\u00e9gories de personnes concern\u00e9es et des cat\u00e9gories de donn\u00e9es \u00e0 caract\u00e8re personnel; d) les cat\u00e9gories de destinataires auxquels les donn\u00e9es \u00e0 caract\u00e8re personnel ont \u00e9t\u00e9 ou seront communiqu\u00e9es, y compris les destinataires dans des pays tiers ou des organisations internationales; e) le cas \u00e9ch\u00e9ant, les transferts de donn\u00e9es \u00e0 caract\u00e8re personnel vers un pays tiers ou \u00e0 une organisation internationale, y compris l&#8217;identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts vis\u00e9s \u00e0 l&#8217;article 49, paragraphe 1, deuxi\u00e8me alin\u00e9a, les documents attestant de l&#8217;existence de garanties appropri\u00e9es; f) dans la mesure du possible, les d\u00e9lais pr\u00e9vus pour l&#8217;effacement des diff\u00e9rentes cat\u00e9gories de donn\u00e9es; g) dans la mesure du possible, une description g\u00e9n\u00e9rale des mesures de s\u00e9curit\u00e9 techniques et organisationnelles vis\u00e9es \u00e0 l&#8217;article 32, paragraphe 1.<\/span><\/p>\n<\/blockquote>\n<p align=\"left\"><span lang=\"fr-FR\"> Les m\u00eames obligations incombent aux sous-traitants <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_10\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_10');\" >[10]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_10\" class=\"footnote_tooltip\" >art. 30 paragraphe 2 du GDPR<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_10').tooltip({ tip: '#footnote_plugin_tooltip_text_80_10', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>.<\/span><\/p>\n<p style=\"text-align: justify;\" align=\"left\"><span lang=\"fr-FR\">Ceci \u00e9tant dit, ser<\/span><span lang=\"fr-FR\">ont exempt\u00e9<\/span><span lang=\"fr-FR\">e<\/span><span lang=\"fr-FR\">s de ces <\/span><span lang=\"fr-FR\">obligations les entreprises ou organisations de moins de 250 employ\u00e9s \u00ab\u00a0sauf si le traitement [effectu\u00e9] est susceptible de comporter un risque pour les droits et libert\u00e9s des personnes concern\u00e9es, s&#8217;il n&#8217;est pas occasionnel ou s&#8217;il porte notamment sur les cat\u00e9gories particuli\u00e8res de donn\u00e9es [\u2026] ou sur des donn\u00e9es \u00e0 caract\u00e8re personnel relatives \u00e0 des condamnations p\u00e9nales et \u00e0 des infractions vis\u00e9es \u00e0 l&#8217;article 10\u00a0\u00bb <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_11\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_11');\" >[11]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_11\" class=\"footnote_tooltip\" >art. 30 paragraphe 5<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_11').tooltip({ tip: '#footnote_plugin_tooltip_text_80_11', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>.<\/span><\/p>\n<p style=\"text-align: justify;\" align=\"left\"><span lang=\"fr-FR\">Enfin, les responsables du traitement seront dans l&#8217;obligation de mener une <\/span><span lang=\"fr-FR\">analyse<\/span><span lang=\"fr-FR\"> d&#8217;impact <\/span><span lang=\"fr-FR\">lorsque \u00ab\u00a0un type de traitement, en particulier par le recours \u00e0 de nouvelles technologies, et compte tenu de la nature, de la port\u00e9e, du contexte et des finalit\u00e9s du traitement, est susceptible d&#8217;engendrer un risque \u00e9lev\u00e9 pour les droits et libert\u00e9s des personnes physiques\u00a0\u00bb <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_12\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_12');\" >[12]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_12\" class=\"footnote_tooltip\" >art. 35 paragraphe 1 du GDPR<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_12').tooltip({ tip: '#footnote_plugin_tooltip_text_80_12', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>, ce qui est une formulation en d\u00e9finitive tr\u00e8s vague. Les \u00e9l\u00e9ments qu&#8217;une telle \u00e9tude d&#8217;impact devra contenir sont indiqu\u00e9s au paragraphe 7 de l&#8217;article 35 du r\u00e8glement, <\/span><span lang=\"fr-FR\">et il est probable qu&#8217;elles rajoutent une charge de travail importantes chez responsables du traitement et sous-traitants.<\/span><\/p>\n<p style=\"text-align: center;\" align=\"left\"><span lang=\"fr-FR\">L<\/span><span lang=\"fr-FR\">e guichet unique<\/span><\/p>\n<p style=\"text-align: justify;\" align=\"left\"><span lang=\"fr-FR\"> Une autre mesure \u00ab\u00a0phare\u00a0\u00bb du GDPR est l&#8217;institution d&#8217;un m\u00e9canisme de guichet unique, permettant \u00e0 chaque sous-traitant du secteur priv\u00e9 de n&#8217;avoir <\/span><span lang=\"fr-FR\">affaire<\/span><span lang=\"fr-FR\">, sauf exception, qu&#8217;\u00e0 la seule autorit\u00e9 de contr\u00f4le du territoire sur lequel il dispose de son \u00e9tablissement principal <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_13\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_13');\" >[13]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_13\" class=\"footnote_tooltip\" >notion d\u00e9finie, dans le cadre du r\u00e8glement, au paragraphe 16 de l&#8217;article 4 du GDPR<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_13').tooltip({ tip: '#footnote_plugin_tooltip_text_80_13', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>.<\/span><\/p>\n<p style=\"text-align: justify;\" align=\"left\"><span lang=\"fr-FR\">Cette autorit\u00e9 chef-de-file sera comp\u00e9tente pour mener des contr\u00f4les, <\/span><span lang=\"fr-FR\">mais<\/span> <span lang=\"fr-FR\">u<\/span><span lang=\"fr-FR\">n citoyen garde la possibilit\u00e9 de saisir l&#8217;autorit\u00e9 de contr\u00f4le du pays o\u00f9 il r\u00e9side. Cette derni\u00e8re \u2013 qui aura alors dans la proc\u00e9dure la qualit\u00e9 d&#8217;autorit\u00e9 concern\u00e9e \u2013 devra alors saisir l&#8217;autorit\u00e9 chef-de-file. L&#8217;article 60 du GDPR fixe les modalit\u00e9s de la coop\u00e9ration entre l&#8217;autorit\u00e9 chef-de-file et la ou les autorit\u00e9s concern\u00e9es par la proc\u00e9dure de contr\u00f4le, lesquelles peuvent d\u00e9sormais se porter assistance mutuellement dans le cadre d&#8217;une op\u00e9ration de contr\u00f4le conjointe <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_14\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_14');\" >[14]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_14\" class=\"footnote_tooltip\" >voir l&#8217;art. 62 du GDPR<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_14').tooltip({ tip: '#footnote_plugin_tooltip_text_80_14', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>.<\/span><\/p>\n<p style=\"text-align: justify;\" align=\"left\"><span lang=\"fr-FR\">Les autorit\u00e9s concern\u00e9es ont quatre semaines pour r\u00e9agir \u00e0 un projet de d\u00e9cision de l&#8217;autorit\u00e9 chef-de-file. En cas d&#8217;objection de leur part, si elle ne suit pas l&#8217;objection \u00ab\u00a0pertinente et motiv\u00e9e\u00a0\u00bb de la ou des autorit\u00e9s concern\u00e9es, doit soumettre son projet d&#8217;avis au m\u00e9canisme de contr\u00f4le de la coh\u00e9rence pr\u00e9vu \u00e0 l&#8217;article 63 du GDPR (voir le paragraphe suivant sur la r\u00e9forme du Groupe de travail de l&#8217;Article 29). Si, cependant, elle int\u00e8gre des \u00e9l\u00e9ments de l&#8217;objection formul\u00e9e \u00e0 l&#8217;\u00e9gard de son projet de d\u00e9cision, elle doit soumettre aux autorit\u00e9s concern\u00e9es son nouveau projet. Celles-ci disposent alors d&#8217;un nouveau d\u00e9lai, r\u00e9duit \u00e0 deux semaines, pour r\u00e9agir au nouveau projet.<\/span><\/p>\n<p style=\"text-align: center;\" align=\"left\"><span lang=\"fr-FR\">La r\u00e9forme du G29<\/span><\/p>\n<p style=\"text-align: justify;\" align=\"left\"><span lang=\"fr-FR\">Le Groupe de travail de l&#8217;article 29 (G29) est la r\u00e9union, institutionnalis\u00e9 par l&#8217;article 29 de la directive 95\/46\/CE, des autorit\u00e9s nationales de protection des donn\u00e9es de l&#8217;Union europ\u00e9enne. Le GDPR renforce consid\u00e9rablement la structure, et la renomme en comit\u00e9 europ\u00e9en de protection des donn\u00e9es. Pour \u00e9viter toute confusion avec le Contr\u00f4leur europ\u00e9en de la protection des donn\u00e9es (CEPD), nous le d\u00e9signerons sous le nom de \u00ab\u00a0comit\u00e9\u00a0\u00bb.<\/span><\/p>\n<p style=\"text-align: justify;\" align=\"left\"><span lang=\"fr-FR\"> Le G29 est un lieu important de d\u00e9finition de la doctrine des autorit\u00e9s nationales de protection des donn\u00e9es. Ses avis sont souvent cit\u00e9s dans des d\u00e9cisions nationales. Compos\u00e9, au niveau de ses groupes de travail, d&#8217;employ\u00e9s des autorit\u00e9s nationales de protection des donn\u00e9es, ses d\u00e9cisions sont adopt\u00e9es en pl\u00e9ni\u00e8re par les pr\u00e9sidents des autorit\u00e9s nationales ou leur repr\u00e9sentant. Ce r\u00e9seau d&#8217;autorit\u00e9s administratives ind\u00e9pendantes a jou\u00e9 un r\u00f4le historique fort, en tant qu&#8217;entrepreneur transgouvernemental, dans l&#8217;adoption de la directive 95\/46\/CE <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_15\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_15');\" >[15]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_15\" class=\"footnote_tooltip\" >Voir\u00a0: NEWMAN, Abraham L., <\/span><span lang=\"fr-FR\"><i>Protectors of Privacy, Regulating Personal Data in the Global Economy<\/i><\/span><span lang=\"fr-FR\">, Ithaca:Cornell University Press, 2008, 221 pages<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_15').tooltip({ tip: '#footnote_plugin_tooltip_text_80_15', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>, <\/span><span lang=\"fr-FR\">et a \u00e9t\u00e9 \u00e0 l&#8217;inventeur \u2013 entre autres \u2013 des r\u00e8gles contraignantes d&#8217;entreprise, plus connues sous le terme anglais de <\/span><span lang=\"fr-FR\"><i>Binding Corporate Rules<\/i><\/span><span lang=\"fr-FR\">, consacr\u00e9es d\u00e9sormais par le GDPR.<\/span><\/p>\n<p style=\"text-align: justify;\" align=\"left\"><span lang=\"fr-FR\">Le principal probl\u00e8me du G29 \u00e9tait son absence de personnalit\u00e9 morale propre, de secr\u00e9tariat permanent, de budget, et de capacit\u00e9 \u00e0 prendre des d\u00e9cisions contraignantes. La tentative \u2013 qui fut assez largement un \u00e9chec \u2013 du G29 de mener une op\u00e9ration conjointe de contr\u00f4le \u00e0 l&#8217;encontre de Google en 2012 illustra sa faiblesse <\/span><span lang=\"fr-FR\"><span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_16\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_16');\" >[16]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_16\" class=\"footnote_tooltip\" >Cet article de presse raconte l&#8217;op\u00e9ration, qui annonc\u00e9e pan-europ\u00e9enne, n&#8217;a finalement impliqu\u00e9 \u2013 de fa\u00e7on parfois limit\u00e9e \u2013 que six autorit\u00e9s nationales :&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_16');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_16').tooltip({ tip: '#footnote_plugin_tooltip_text_80_16', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script><\/span><span lang=\"fr-FR\">. Son renforcement, notamment dans le cadre du nouveau m\u00e9canisme de contr\u00f4le de la coh\u00e9rence, et du guichet unique, a \u00e9t\u00e9 voulu par le l\u00e9gislateur europ\u00e9en.<\/span><\/p>\n<p style=\"text-align: justify;\" align=\"left\"><span lang=\"fr-FR\">Ainsi, l&#8217;article 68 du GDPR dispose qu&#8217;est institu\u00e9 en tant qu&#8217;organe de l&#8217;Union europ\u00e9enne <\/span><span lang=\"fr-FR\"><i>disposant de la personnalit\u00e9 juridique<\/i><\/span><span lang=\"fr-FR\"> un comit\u00e9 europ\u00e9en de la protection des donn\u00e9es, repr\u00e9sent\u00e9 par un pr\u00e9sident \u00e9lu parmi les membres que sont les chefs des autorit\u00e9s nationales de protection des donn\u00e9es <\/span><span lang=\"fr-FR\">et le CEPD. La Commission est repr\u00e9sent\u00e9e, mais ne prend pas part aux votes.<\/span><\/p>\n<p style=\"text-align: justify;\">Le secr\u00e9tariat sera assur\u00e9 par le personnel du CEPD. Mais, refl\u00e9tant les tensions apparues \u00e0 ce sujet entre les autorit\u00e9s nationales et le CEPD, ce personnel mis \u00e0 disposition par le CEPD sera \u00ab\u00a0sous l&#8217;autorit\u00e9 exclusive du pr\u00e9sident du comit\u00e9\u00a0\u00bb <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_17\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_17');\" >[17]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_17\" class=\"footnote_tooltip\" >art. 75 \u00a72 du GDPR<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_17').tooltip({ tip: '#footnote_plugin_tooltip_text_80_17', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script> selon \u00ab\u00a0une structure hi\u00e9rarchique distincte de celle du personnel qui participe \u00e0 l\u2019exercice des missions confi\u00e9es au contr\u00f4leur europ\u00e9en de la protection des donn\u00e9es\u00a0\u00bb <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_18\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_18');\" >[18]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_18\" class=\"footnote_tooltip\" >art. 75 \u00a73 du GDPR<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_18').tooltip({ tip: '#footnote_plugin_tooltip_text_80_18', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>.<\/p>\n<p style=\"text-align: justify;\" align=\"left\">L&#8217;ind\u00e9pendance du comit\u00e9, garantie \u00e0 l&#8217;art. 69 du GDPR selon les m\u00eames termes que ceux utilis\u00e9s pour d\u00e9signer celle des autorit\u00e9s nationales (\u00ab\u00a0en toute ind\u00e9pendance\u00a0\u00bb), a \u00e9galement \u00e9t\u00e9 assur\u00e9e \u00e0 l&#8217;\u00e9gard de la Commission. En effet, si \u00e0 l&#8217;origine, la proposition de la Commission donnait \u00e0 cette derni\u00e8re un r\u00f4le important \u2013 et lui permettait en pratique de bloquer une d\u00e9cision du comit\u00e9 \u2013 le Parlement europ\u00e9en et le Conseil lui ont, par leurs amendements, enlev\u00e9 tout droit au vote et toute capacit\u00e9 de peser dans le processus d\u00e9cisionnel <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_19\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_19');\" >[19]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_19\" class=\"footnote_tooltip\" >Voir\u00a0: les amendements \u00e0 l&#8217;art. 59 de la proposition originale de la Commission<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_19').tooltip({ tip: '#footnote_plugin_tooltip_text_80_19', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>.<\/p>\n<p style=\"text-align: justify;\" align=\"left\">Le comit\u00e9 sera habilit\u00e9 \u00e0 prendre des d\u00e9cisions contraignantes, selon le m\u00e9canisme de contr\u00f4le de la coh\u00e9rence, qui s&#8217;appliquera notamment en cas de litige entre une autorit\u00e9 chef-de-file et les autres autorit\u00e9s concern\u00e9es (voir le paragraphe ci-dessus au sujet du guichet unique). L&#8217;article 65 du GDPR fixe les conditions d&#8217;une telle d\u00e9cision. Dans un premier temps, les membres du comit\u00e9 doivent essayer d&#8217;obtenir un vote \u00e0 la majorit\u00e9 des deux-tiers. Mais si, dans un d\u00e9lai de deux mois, il ne se forme pas de telle majorit\u00e9, le projet de d\u00e9cision pourra \u00eatre adopt\u00e9 \u00e0 la majorit\u00e9 simple des membres, la voix du pr\u00e9sident \u00e9tant pr\u00e9pond\u00e9rante en cas de partage des voix. Tant que ce d\u00e9lai court, les autorit\u00e9s nationales ne peuvent adopter leur projet de d\u00e9cision contest\u00e9.<\/p>\n<p style=\"text-align: justify;\" align=\"left\">La possibilit\u00e9 ouverte au comit\u00e9 d&#8217;adopter des d\u00e9cisions contraignantes pose la question du recours \u00e0 leur encontre. En effet, les d\u00e9cisions relatives \u00e0 un projet de d\u00e9cision d&#8217;une autorit\u00e9 chef-de-file dans le cadre d&#8217;une proc\u00e9dure de contr\u00f4le, voire de sanction, impacte directement responsables du traitement et personnes concern\u00e9es. Une personne concern\u00e9e, si elle n&#8217;est pas satisfaite de la d\u00e9cision du comit\u00e9, pourra-t-elle attaquer la d\u00e9cision\u00a0? Au regard de la jurisprudence Plaumann <span style=\"font-family: 'Liberation Serif', serif;\"><span lang=\"fr-FR\">de la Cour <\/span><\/span><span style=\"font-family: 'Liberation Serif', serif;\"><span lang=\"fr-FR\"><span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_20\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_20');\" >[20]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_20\" class=\"footnote_tooltip\" >CJCE 15 juillet 1963 Plaumann &amp; co. contre Commission de la Communaut\u00e9 \u00e9conomique europ\u00e9enne, aff. 25-62<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_20').tooltip({ tip: '#footnote_plugin_tooltip_text_80_20', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>, confirm\u00e9e par l&#8217;arr\u00eat Uni\u00f3n de Peque\u00f1os Agricultores <\/span><\/span><span style=\"font-family: 'Liberation Serif', serif;\"><span lang=\"fr-FR\">de 2002<\/span><\/span> <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_21\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_21');\" >[21]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_21\" class=\"footnote_tooltip\" >CJCE 25 juillet 2002 Uni\u00f3n de Peque\u00f1os Agricultores contre Conseil de l&#8217;Union europ\u00e9enne, aff. C-50\/00 P<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_21').tooltip({ tip: '#footnote_plugin_tooltip_text_80_21', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>, il est permis d&#8217;en douter. Bien entendu, il demeurera loisible \u00e0 cette personne d&#8217;attaquer la d\u00e9cision de l&#8217;autorit\u00e9 l&#8217;ayant adopt\u00e9e, mais il devra le faire devant la juridiction de l&#8217;Etat o\u00f9 se situe l&#8217;autorit\u00e9 chef-de-file\u00a0:<\/p>\n<blockquote>\n<p style=\"padding-left: 30px;\" align=\"left\">\u00ab\u00a0Toute action contre une autorit\u00e9 de contr\u00f4le est intent\u00e9e devant les juridictions de l&#8217;Etat membre sur le territoire duquel l&#8217;autorit\u00e9 de contr\u00f4le est \u00e9tablie\u00a0\u00bb <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_22\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_22');\" >[22]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_22\" class=\"footnote_tooltip\" >Art. 78 paragraphe 3 du GDPR<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_22').tooltip({ tip: '#footnote_plugin_tooltip_text_80_22', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script><\/p>\n<\/blockquote>\n<p style=\"text-align: justify;\" align=\"left\">Par ailleurs, le comit\u00e9 sera dot\u00e9 un pouvoir r\u00e9glementaire d\u00e9l\u00e9gu\u00e9 par le l\u00e9gislateur europ\u00e9en. Il pourra, par exemple, agr\u00e9er des organismes de certification, ou adopter des clauses contractuelles types pour les contrats entre responsable de traitement et sous-traitant. Ces d\u00e9cisions seront-elles susceptibles de recours efficace\u00a0? La question n&#8217;est en tout cas pas simple \u00e0 trancher, vu la jurisprudence actuelle tr\u00e8s restrictive de la CJUE <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_23\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_23');\" >[23]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_23\" class=\"footnote_tooltip\" >Dans le cadre du GDPR, ce probl\u00e8me est aggrav\u00e9 par le consid\u00e9rant 142 qui indique qu&#8217;\u00ab\u00a0une juridiction nationale peut ne pas soumettre une question relative \u00e0 la validit\u00e9 d&#8217;une&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_23');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_23').tooltip({ tip: '#footnote_plugin_tooltip_text_80_23', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>.<\/p>\n<p style=\"text-align: justify;\" align=\"left\">Enfin, le GDPR dote le comit\u00e9 d&#8217;une meilleure capacit\u00e9 de coop\u00e9ration, gr\u00e2ce au m\u00e9canisme des contr\u00f4les conjoints, par lequel les autorit\u00e9s de protection pourront mettre en commun des ressources. Ce dispositif vise notamment \u00e0 \u00e9pauler les petites autorit\u00e9s chef-de-file ayant sur leur territoire de comp\u00e9tence de nombreux \u00e9tablissements principaux de responsables du traitement, ou des responsables du traitement ayant un poids important. L&#8217;exemple typique d&#8217;une telle configuration est le Bureau du contr\u00f4leur irlandais \u00e0 la protection des donn\u00e9es, qui, avec un budget et des effectifs tr\u00e8s restreints, sera l&#8217;autorit\u00e9 chef-de-file pour Facebook en Europe.<\/p>\n<p style=\"text-align: justify;\" align=\"left\">Les op\u00e9rations de contr\u00f4le conjointes sont pr\u00e9vues \u00e0 l&#8217;article 62 du GDPR. Si le droit de l&#8217;Etat membre de l&#8217;autorit\u00e9 de contr\u00f4le le permet, cette autorit\u00e9 peut conf\u00e9rer \u00e0 des agents d&#8217;autorit\u00e9s \u00e9trang\u00e8res participant \u00e0 un contr\u00f4le conjoint un certain nombre de pouvoirs d&#8217;enqu\u00eate, exerc\u00e9s dans ce cas sous l&#8217;autorit\u00e9 de l&#8217;autorit\u00e9 d&#8217;accueil.<\/p>\n<p style=\"text-align: center;\">Renforcement des sanctions<\/p>\n<p style=\"text-align: justify;\">Les pouvoirs de sanction des autorit\u00e9s de contr\u00f4le vont \u00eatre consid\u00e9rablement renforc\u00e9es dans de nombreux Etats membres.<\/p>\n<p style=\"text-align: justify;\">D\u00e9finies \u00e0 l&#8217;article 83 du GDPR, les sanctions, pour les responsables du traitement relevant du droit priv\u00e9, s&#8217;\u00e9l\u00e8vent\u00a0:<\/p>\n<ul>\n<li style=\"text-align: justify;\">A 2\u00a0% du chiffre d&#8217;affaires mondial annuel du responsable du traitement, ou \u00e0 10 000 000 d&#8217;euros (en prenant le chiffre le plus \u00e9lev\u00e9) dans un certain de nombre de cas \u00e9num\u00e9r\u00e9s au paragraphe 4 de l&#8217;article 83\u00a0;<\/li>\n<li style=\"text-align: justify;\">A 4\u00a0% du chiffre d&#8217;affaires mondial annuel ou 20 000 000 d&#8217;euros (en prenant le chiffre le plus \u00e9lev\u00e9), dans les cas de violations les plus graves \u00e9num\u00e9r\u00e9es au paragraphe 5 de l&#8217;article 83 du GDPR, ou en cas de r\u00e9cidive, et ce en vertu du paragraphe 6 de l&#8217;article 85.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Les sanctions applicables aux responsables du traitement relevant du droit public sont d\u00e9termin\u00e9es par le droit des Etats membres <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_24\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_24');\" >[24]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_24\" class=\"footnote_tooltip\" >art. 84 paragraphe 7 du GDPR<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_24').tooltip({ tip: '#footnote_plugin_tooltip_text_80_24', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>.<\/p>\n<p style=\"text-align: justify;\">Par ailleurs, le l\u00e9gislateur europ\u00e9en a ins\u00e9r\u00e9 \u00e0 l&#8217;article 83 paragraphe 9 des dispositions permettant aux Etats membres qui ne pr\u00e9voient pas la possibilit\u00e9 de sanctions administratives que celles-ci soient impos\u00e9es par les juridictions de cet Etat. Ces dispositions visent notamment \u00e0 accommoder le Danemark, dont le droit interne ne permet pas de confier de pouvoir de sanction financi\u00e8re \u00e0 des autorit\u00e9s administratives, et l&#8217;Estonie, dont l&#8217;amende est impos\u00e9e suite \u00e0 une proc\u00e9dure particuli\u00e8re <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_25\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_25');\" >[25]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_25\" class=\"footnote_tooltip\" >Voir les explications fournies au consid\u00e9rant 151 du GDPR<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_25').tooltip({ tip: '#footnote_plugin_tooltip_text_80_25', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>.<\/p>\n<p style=\"text-align: center;\">Renforcement de la certification<\/p>\n<p style=\"text-align: justify;\">Un autre \u00e9l\u00e9ment important du GDPR est l&#8217;importance accord\u00e9e \u00e0 la certification, qui refl\u00e8te la volont\u00e9 d&#8217;accompagner les responsables du traitement dans leurs d\u00e9marches de conformit\u00e9.<\/p>\n<p style=\"text-align: justify;\">L&#8217;article 42 du GDPR porte sur la certification. Les certifications sont d\u00e9livr\u00e9es soit par les autorit\u00e9s de protection des donn\u00e9es, soit par des organismes certifi\u00e9s, agr\u00e9\u00e9es par l&#8217;autorit\u00e9 de contr\u00f4le comp\u00e9tente ou l&#8217;organisme national d&#8217;accr\u00e9ditation d\u00e9sign\u00e9 conform\u00e9ment au r\u00e8glement 765\/2008\/CE. Les crit\u00e8res de certification des organismes de certification sont d\u00e9taill\u00e9s au paragraphe 2 de l&#8217;article 43. Ces organismes doivent notamment prouver leur ind\u00e9pendance et leur expertise, mis en place des proc\u00e9dures d&#8217;agr\u00e9ment de contr\u00f4le r\u00e9gulier, ne pas \u00eatre en situation de conflit d&#8217;int\u00e9r\u00eat et \u00e9tabli des proc\u00e9dures pour traiter les r\u00e9clamations relatives aux violations.<\/p>\n<p style=\"text-align: justify;\">Le fait de disposer d&#8217;une certification ne diminue pas la responsabilit\u00e9 d&#8217;un responsable du traitement <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_26\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_26');\" >[26]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_26\" class=\"footnote_tooltip\" >art. 42 paragraphe 4 du GDPR<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_26').tooltip({ tip: '#footnote_plugin_tooltip_text_80_26', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>. L&#8217;article 83 paragraphe 2, qui indique les \u00e9l\u00e9ments \u00e0 prendre en compte par l&#8217;autorit\u00e9 de contr\u00f4le lorsqu&#8217;elle envisage une amende administrative, liste l&#8217;application de codes de conduite sectoriels ou de m\u00e9canismes de certification comme circonstance \u00e0 prendre en compte. Mais il n&#8217;est pas clair, dans la formulation de cet article, si cela constitue une circonstance aggravante ou att\u00e9nuante.<\/p>\n<p style=\"text-align: justify;\">Un autre \u00e9l\u00e9ment de conformit\u00e9 consacr\u00e9 dans le GDPR sont les r\u00e8gles contraignantes d&#8217;entreprise. Si elles existaient d\u00e9j\u00e0 dans le cadre de la directive 95\/46\/CE, les r\u00e8gles contraignantes d&#8217;entreprise et la proc\u00e9dure en vue de leur obtention sont d\u00e9sormais codifi\u00e9es \u00e0 l&#8217;article 47 du GDPR.<\/p>\n<p style=\"text-align: center;\">Evolution du sens g\u00e9n\u00e9ral de la l\u00e9gislation sur la protection des donn\u00e9es<\/p>\n<p style=\"text-align: justify;\">Il est d&#8217;usage de distinguer deux phases historiques dans l&#8217;histoire des politiques publiques de protection des donn\u00e9es\u00a0:<\/p>\n<ul>\n<li style=\"text-align: justify;\">De la fin des ann\u00e9es 1960 (la premi\u00e8re loi en la mati\u00e8re a \u00e9t\u00e9 adopt\u00e9e en 1970 dans le Land de Hesse) \u00e0 1995 (ann\u00e9e de l&#8217;adoption de la directive 95\/46\/CE), les lois de protection des donn\u00e9es visaient principalement \u00e0 restreindre les activit\u00e9s de traitement de donn\u00e9es personnelles de l&#8217;Etat, dans une logique de protection des libert\u00e9s publiques. Technologiquement, cette p\u00e9riode correspond principalement \u00e0 celle des centres de calcul.<\/li>\n<li style=\"text-align: justify;\">Entre 1995 et 2016 (date d&#8217;adoption du GDPR), si cette premi\u00e8re dimension de libert\u00e9 fondamentale et de protection du citoyen face \u00e0 l&#8217;Etat n&#8217;a pas disparu, l&#8217;accent s&#8217;est l\u00e9g\u00e8rement d\u00e9plac\u00e9 et les lois de protection des donn\u00e9es sont \u00e9galement devenues des lois de r\u00e9gulation de march\u00e9. D&#8217;un point de vue technologique, la p\u00e9riode correspond \u00e0 la d\u00e9mocratisation de l&#8217;informatique individuelle et de l&#8217;Internet.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Le GDPR est une r\u00e9forme consid\u00e9rable des r\u00e8gles europ\u00e9ennes de protection des donn\u00e9es, et il est donc l\u00e9gitime de se demander si son adoption marque une troisi\u00e8me \u00e8re.<\/p>\n<p style=\"text-align: justify;\">D&#8217;un point de vue acad\u00e9mique, le paradigme lib\u00e9ral de la protection des donn\u00e9es <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_27\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_27');\" >[27]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_27\" class=\"footnote_tooltip\" >d\u00e9fini et \u00e9tudi\u00e9 par Colin Bennett et Charles Raab : Bennett, Colin J., et Charles D. Raab. <em>The Governance of Privacy. Policy Instruments in Global Perspective<\/em>. Aldershot: Ashgate, 2003<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_27').tooltip({ tip: '#footnote_plugin_tooltip_text_80_27', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script> conna\u00eet une nouvelle jeunesse avec l&#8217;int\u00e9gration de la r\u00e9flexion d&#8217;inspiration foucaldienne sur la gouvernementalit\u00e9 algorithmique et la dataveillance. Dans un tel paradigme, surveillance publique et priv\u00e9e ont une fronti\u00e8re floue <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_28\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_28');\" >[28]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_28\" class=\"footnote_tooltip\" >voir \u00e0 ce sujet, entre autres : Lyon, David. <em>Surveillance After Snowden<\/em>. Cambridge, Mass.: Polity Press, 2015<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_28').tooltip({ tip: '#footnote_plugin_tooltip_text_80_28', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>. De plus, une question sous-jacente prend de l&#8217;importance : celle des droits de l&#8217;humain face \u00e0 la machine. Cette question est mise \u00e0 l&#8217;ordre du jour par l&#8217;informatique ubiquitaire de l&#8217;Internet des objets, la mont\u00e9e en puissance de la r\u00e9gulation algorithmique <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_29\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_29');\" >[29]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_29\" class=\"footnote_tooltip\" >voir \u00e0 ce sujet : LESSIG, Lawrence. \u00ab Code is Law. On Liberty in Cyberspace \u00bb, <em>Harvard Magazine<\/em>, janvier 2000<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_29').tooltip({ tip: '#footnote_plugin_tooltip_text_80_29', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>, et les diverses techniques de profilage.<\/p>\n<p style=\"text-align: justify;\">La question n&#8217;est pas neuve\u00a0: d&#8217;ailleurs, cette question sous-jacente ouvre les d\u00e9bats du premier d\u00e9bat d&#8217;une commission parlementaire sur la privacy informationnelle, aux Etats-Unis, en 1966\u00a0:<\/p>\n<blockquote>\n<p style=\"padding-left: 30px;\">\u00ab\u00a0\u201cThe Computerized Man,\u201d as I see him, would be stripped of his individuality and privacy. Through the standardization ushered in by technological advance, his status in society would be measured by the computer, and he would lose his personal identity. His life, his talent and his earning capacity would be reduced to a tape with very few alternatives available\u00a0\u00bb <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_30\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_30');\" >[30]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_30\" class=\"footnote_tooltip\" >U.S. House of Representatives, 1966. Hearings before a Subcommittee of the Committee on Government Operations, House of Representatives, 89th Congress, Second Session, 26, 27 et 28 juillet.&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_30');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_30').tooltip({ tip: '#footnote_plugin_tooltip_text_80_30', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script><\/p>\n<\/blockquote>\n<p style=\"text-align: justify;\">Dans la loi informatique et libert\u00e9s fran\u00e7aise de 1978 <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_31\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_31');\" >[31]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_31\" class=\"footnote_tooltip\" >Loi n\u00b0 78-17 du 6 janvier 1978 relative \u00e0 l&#8217;informatique, aux fichiers et aux libert\u00e9s, JORF du 7 janvier 1978 pp. 227 et s.<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_31').tooltip({ tip: '#footnote_plugin_tooltip_text_80_31', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>, l&#8217;article 2, devenu en 2004, apr\u00e8s modification l&#8217;article 10, \u00e9non\u00e7ait\u00a0:<\/p>\n<blockquote>\n<p style=\"text-align: justify; padding-left: 30px;\">\u00ab\u00a0Aucune d\u00e9cision de justice impliquant une appr\u00e9ciation sur un comportement humain ne peut avoir pour fondement un traitement automatis\u00e9 d&#8217;informations donnant une d\u00e9finition du profil ou de la personnalit\u00e9 de l&#8217;int\u00e9ress\u00e9.<\/p>\n<p style=\"text-align: justify; padding-left: 30px;\">Aucune d\u00e9cision administrative ou priv\u00e9e impliquant une appr\u00e9ciation sur un comportement humain ne peut avoir pour fondement un traitement automatis\u00e9 d&#8217;informations donnant une d\u00e9finition du profil ou de la personnalit\u00e9 de l&#8217;int\u00e9ress\u00e9.\u00a0\u00bb<\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\">D\u00e8s 1995, l&#8217;article 12 de la directive 95\/46\/CE pr\u00e9cise dans la liste des informations \u00e0 fournir \u00e0 la personne concern\u00e9e, sur demande, dans le cadre du droit d&#8217;acc\u00e8s, les informations sur la logique sous-jacente qui sous-tend le traitement automatis\u00e9 des donn\u00e9es la concernant\u00a0:<\/p>\n<blockquote>\n<p style=\"padding-left: 30px;\">\u00ab\u00a0Droit d&#8217;acc\u00e8s<\/p>\n<p style=\"padding-left: 30px;\">Les \u00c9tats membres garantissent \u00e0 toute personne concern\u00e9e le droit d&#8217;obtenir du responsable du traitement:<\/p>\n<p style=\"padding-left: 30px;\">a) sans contrainte, \u00e0 des intervalles raisonnables et sans d\u00e9lais ou frais excessifs:<\/p>\n<p style=\"padding-left: 30px;\">&#8211; la confirmation que des donn\u00e9es la concernant sont ou ne sont pas trait\u00e9es, ainsi que des informations portant au moins sur les finalit\u00e9s du traitement, les cat\u00e9gories de donn\u00e9es sur lesquelles il porte et les destinataires ou les cat\u00e9gories de destinataires auxquels les donn\u00e9es sont communiqu\u00e9es,<\/p>\n<p style=\"padding-left: 30px;\">&#8211; la communication, sous une forme intelligible, des donn\u00e9es faisant l&#8217;objet des traitements, ainsi que de toute information disponible sur l&#8217;origine des donn\u00e9es,<\/p>\n<p style=\"padding-left: 30px;\">&#8211; la connaissance de la logique qui sous-tend tout traitement automatis\u00e9 des donn\u00e9es la concernant, au moins dans le cas des d\u00e9cisions automatis\u00e9es vis\u00e9es \u00e0 l&#8217;article 15 paragraphe 1;\u00a0\u00bb<\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\">Ce droit est repris dans le GDPR \u00e0 l&#8217;article 13-2 sous f), permettant \u00e0 la personne concern\u00e9e d&#8217;acc\u00e9der aux informations concernant\u00a0:<\/p>\n<blockquote>\n<p style=\"text-align: justify; padding-left: 30px;\">\u00ab\u00a0l&#8217;existence d&#8217;une prise de d\u00e9cision automatis\u00e9e, y compris un profilage, vis\u00e9e \u00e0 l&#8217;article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l&#8217;importance et les cons\u00e9quences pr\u00e9vues de ce traitement pour la personne concern\u00e9e.\u00a0\u00bb<\/p>\n<\/blockquote>\n<p style=\"text-align: justify;\">Cependant, le consid\u00e9rant 63 pr\u00e9cise au sujet du droit d&#8217;acc\u00e8s que \u00ab\u00a0ce droit ne devrait pas porter atteinte aux droits ou libert\u00e9s d&#8217;autrui, y compris au secret des affaires ou \u00e0 la propri\u00e9t\u00e9 intellectuelle, notamment au droit d&#8217;auteur prot\u00e9geant le logiciel.\u00a0\u00bb. Le l\u00e9gislateur europ\u00e9en a donc exclu toute possibilit\u00e9 d&#8217;acc\u00e8s au code source d&#8217;un logiciel, y compris pour motif d&#8217;int\u00e9r\u00eat g\u00e9n\u00e9ral.<\/p>\n<p style=\"text-align: justify;\">Enfin, l&#8217;interdiction g\u00e9n\u00e9ralis\u00e9e de d\u00e9cisions automatis\u00e9es, qui \u00e9tait la norme en 1978 en France, dispara\u00eet du GDPR au profit de nombreuses exceptions aux formulations souvent vagues <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_32\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_32');\" >[32]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_32\" class=\"footnote_tooltip\" >Par exemple, selon le consid\u00e9rant 71\u00a0: \u00ab\u00a0La prise de d\u00e9cision et le profilage automatis\u00e9s fond\u00e9s sur des cat\u00e9gories particuli\u00e8res de donn\u00e9es \u00e0 caract\u00e8re personnel ne devraient \u00eatre&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_32');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_32').tooltip({ tip: '#footnote_plugin_tooltip_text_80_32', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>\u00a0:<\/p>\n<blockquote>\n<p style=\"text-align: justify; padding-left: 30px;\">\u00ab\u00a0Article 22<br \/>\nD\u00e9cision individuelle automatis\u00e9e, y compris le profilage<br \/>\n1. La personne concern\u00e9e a le droit de ne pas faire l&#8217;objet d&#8217;une d\u00e9cision fond\u00e9e exclusivement sur un traitement automatis\u00e9, y compris le profilage, produisant des effets juridiques la concernant ou l&#8217;affectant de mani\u00e8re significative de fa\u00e7on similaire.<br \/>\n2. Le paragraphe 1 ne s&#8217;applique pas lorsque la d\u00e9cision:<br \/>\na) est n\u00e9cessaire \u00e0 la conclusion ou \u00e0 l&#8217;ex\u00e9cution d&#8217;un contrat entre la personne concern\u00e9e et un responsable du traitement;<br \/>\nb) est autoris\u00e9e par le droit de l&#8217;Union ou le droit de l&#8217;\u00c9tat membre auquel le responsable du traitement est soumis et qui pr\u00e9voit \u00e9galement des mesures appropri\u00e9es pour la sauvegarde des droits et libert\u00e9s et des int\u00e9r\u00eats l\u00e9gitimes de la personne concern\u00e9e; ou<br \/>\nc) est fond\u00e9e sur le consentement explicite de la personne concern\u00e9e.<br \/>\n3. Dans les cas vis\u00e9s au paragraphe 2, points a) et c), le responsable du traitement met en \u0153uvre des mesures appropri\u00e9es pour la sauvegarde des droits et libert\u00e9s et des int\u00e9r\u00eats l\u00e9gitimes de la personne concern\u00e9e, au moins du droit de la personne concern\u00e9e d&#8217;obtenir une intervention humaine de la part du responsable du traitement, d&#8217;exprimer son point de vue et de contester la d\u00e9cision.<br \/>\n4. Les d\u00e9cisions vis\u00e9es au paragraphe 2 ne peuvent \u00eatre fond\u00e9es sur les cat\u00e9gories particuli\u00e8res de donn\u00e9es \u00e0 caract\u00e8re personnel vis\u00e9es \u00e0 l&#8217;article 9, paragraphe 1, \u00e0 moins que l&#8217;article 9, paragraphe 2, point a) ou g), ne s&#8217;applique et que des mesures appropri\u00e9es pour la sauvegarde des droits et libert\u00e9s et des int\u00e9r\u00eats l\u00e9gitimes de la personne concern\u00e9e ne soient en place.\u00a0\u00bb<\/p>\n<\/blockquote>\n<p>La directive 95\/46\/CE disposait elle \u00e0 son article 15\u00a0:<\/p>\n<blockquote>\n<p style=\"padding-left: 30px; text-align: justify;\">\u00ab\u00a0Article 15<\/p>\n<p style=\"padding-left: 30px; text-align: justify;\">D\u00e9cisions individuelles automatis\u00e9es<\/p>\n<p style=\"padding-left: 30px; text-align: justify;\">1. Les \u00c9tats membres reconnaissent \u00e0 toute personne le droit de ne pas \u00eatre soumise \u00e0 une d\u00e9cision produisant des effets juridiques \u00e0 son \u00e9gard ou l&#8217;affectant de mani\u00e8re significative, prise sur le seul fondement d&#8217;un traitement automatis\u00e9 de donn\u00e9es destin\u00e9 \u00e0 \u00e9valuer certains aspects de sa personnalit\u00e9, tels que son rendement professionnel, son cr\u00e9dit, sa fiabilit\u00e9, son comportement, etc.<\/p>\n<p style=\"padding-left: 30px; text-align: justify;\">2. Les \u00c9tats membres pr\u00e9voient, sous r\u00e9serve des autres dispositions de la pr\u00e9sente directive, qu&#8217;une personne peut \u00eatre soumise \u00e0 une d\u00e9cision telle que celle vis\u00e9e au paragraphe 1 si une telle d\u00e9cision:<\/p>\n<p style=\"padding-left: 30px; text-align: justify;\">a) est prise dans le cadre de la conclusion ou de l&#8217;ex\u00e9cution d&#8217;un contrat, \u00e0 condition que la demande de conclusion ou d&#8217;ex\u00e9cution du contrat, introduite par la personne concern\u00e9e, ait \u00e9t\u00e9 satisfaite ou que des mesures appropri\u00e9es, telles que la possibilit\u00e9 de faire valoir son point de vue, garantissent la sauvegarde de son int\u00e9r\u00eat l\u00e9gitime<\/p>\n<p style=\"padding-left: 30px; text-align: justify;\">ou<\/p>\n<p style=\"padding-left: 30px; text-align: justify;\">b) est autoris\u00e9e par une loi qui pr\u00e9cise les mesures garantissant la sauvegarde de l&#8217;int\u00e9r\u00eat l\u00e9gitime de la personne concern\u00e9e.\u00a0\u00bb<\/p>\n<\/blockquote>\n<p style=\"text-align: justify;\">Les d\u00e9cisions individuelles automatis\u00e9es, y compris bas\u00e9es sur le profilage, sont donc encadr\u00e9es, et le GDPR y consacre des segments plus longs que les textes pr\u00e9c\u00e9dents. L&#8217;importance textuelle de la question refl\u00e8te l&#8217;\u00e9tat de la technique tout comme celui de la r\u00e9flexion philosophique et politique. Cependant, force est de constater que le texte adopt\u00e9 en avril confirme un assouplissement net entam\u00e9 en 1995 de l&#8217;interdiction g\u00e9n\u00e9rale pr\u00e9valant dans les ann\u00e9es 1970 de telles d\u00e9cisions, dans les pays ayant adopt\u00e9 des lois de protection des donn\u00e9es.<\/p>\n<p style=\"text-align: center;\">Autres nouveaut\u00e9s<\/p>\n<p>Le GDPR contient par ailleurs un grand nombre d&#8217;autres dispositions, notamment sur le <strong>droit \u00e0 l&#8217;oubli<\/strong> <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_33\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_33');\" >[33]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_33\" class=\"footnote_tooltip\" >voir les consid\u00e9rants 65 et 66 et l&#8217;article 17<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_33').tooltip({ tip: '#footnote_plugin_tooltip_text_80_33', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script> qui se veut plus qu&#8217;un simple droit au d\u00e9r\u00e9f\u00e9rencement, ou sur le <strong>droit \u00e0 la portabilit\u00e9 des donn\u00e9es<\/strong> <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_80_34\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_80('footnote_plugin_reference_80_34');\" >[34]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_80_34\" class=\"footnote_tooltip\" >voir le consid\u00e9rant 68 ainsi que les articles 15-3 et 20<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_80_34').tooltip({ tip: '#footnote_plugin_tooltip_text_80_34', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>. Ces \u00e9l\u00e9ments ne seront cependant pas abord\u00e9s dans le d\u00e9tail ici, mais feront peut-\u00eatre l&#8217;objet d&#8217;articles s\u00e9par\u00e9s.<\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: center;\">Conclusion<\/p>\n<p style=\"text-align: justify;\">Le GDPR est une r\u00e9forme majeure du droit de la protection des donn\u00e9es dans l&#8217;Union europ\u00e9enne. Dot\u00e9 de l&#8217;effet direct quoiqu&#8217;il m\u00e9nage une marge de man\u0153uvre non n\u00e9gligeable dans certains domaines aux Etats membres, il aura un impact consid\u00e9rable sur l&#8217;activit\u00e9 des professionnels de la protection des donn\u00e9es. Certaines de ces dispositions, en particulier celles qui sont les fruits de laborieux compromis, paraissent encore peu claires, et n\u00e9cessiteront une clarification par la pratique et peut-\u00eatre la jurisprudence de la Cour de justice de l&#8217;Union europ\u00e9enne. Enfin, il est encore trop t\u00f4t, \u00e0 la lecture des dispositions notamment sur le profilage et les d\u00e9cisions automatis\u00e9es, pour dire si, avec le GDPR, une nouvelle \u00e9tape de l&#8217;histoire de la protection des donn\u00e9es, recentrant l&#8217;attention sur la protection des libert\u00e9s de l&#8217;humain face \u00e0 la gouvernance algorithmique d&#8217;une informatique ubiquitaire, a \u00e9t\u00e9 franchi.<\/p>\n<div class=\"speaker-mute footnotes_reference_container\" > <div class=\"footnote_container_prepare\" ><p ><span class=\"footnote_reference_container_label\" onclick=\"footnote_expand_reference_container_80();\" ><\/span ><span class=\"footnote_reference_container_collapse_button\" style=\"display: none;\" onclick=\"footnote_expand_collapse_reference_container_80();\" >[<a id=\"footnote_reference_container_collapse_button_80\" >+<\/a >]<\/span ><\/p ><\/div > <div id=\"footnote_references_container_80\" style=\"\" > <table class=\"footnote-reference-container\" > <tbody> \r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_1');\" ><a id=\"footnote_plugin_reference_80_1\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>1<\/a><\/td> <td class=\"footnote_plugin_text\" >R\u00e8glement (UE) 2016\/679 du Parlement europ\u00e9en et du Conseil du 27 avril 2016 relatif \u00e0 la protection des personnes physiques \u00e0 l&#8217;\u00e9gard du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel et \u00e0 la libre circulation de ces donn\u00e9es, et abrogeant la directive 95\/46\/CE (r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_2');\" ><a id=\"footnote_plugin_reference_80_2\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>2<\/a><\/td> <td class=\"footnote_plugin_text\" >COM 2012-011<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_3');\" ><a id=\"footnote_plugin_reference_80_3\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>3<\/a><\/td> <td class=\"footnote_plugin_text\" >CJUE 24 novembre 2011 \u00ab\u00a0ASNEF et FECEMD contre Administracion del Estado\u00a0\u00bb Aff. C-468\/10 et C-469\/10, pt. 29<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_4');\" ><a id=\"footnote_plugin_reference_80_4\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>4<\/a><\/td> <td class=\"footnote_plugin_text\" ><a href=\"http:\/\/www.lobbyplag.eu\/\">www.lobbyplag.eu<\/a><\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_5');\" ><a id=\"footnote_plugin_reference_80_5\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>5<\/a><\/td> <td class=\"footnote_plugin_text\" ><\/span><span lang=\"fr-FR\">Voir\u00a0: <a href=\"http:\/\/ap-dp.org\/fr\/les-institutions\/les-delegues-a-la-protection-des-donnees\/typologie-des-relations-avec-les-autorites-de-protection-des-donnees\/\">http:\/\/ap-dp.org\/fr\/les-institutions\/les-delegues-a-la-protection-des-donnees\/typologie-des-relations-avec-les-autorites-de-protection-des-donnees\/<\/a> <\/span><span lang=\"fr-FR\"><\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_6');\" ><a id=\"footnote_plugin_reference_80_6\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>6<\/a><\/td> <td class=\"footnote_plugin_text\" >Il est vrai n\u00e9anmoins qu&#8217;en soi, le fait pour les DPO de figurer sur cette liste aurait \u00e9t\u00e9 ambig\u00fc. En effet, dans certains pays \u2013 c&#8217;est le cas en Hongrie \u2013 les autorit\u00e9s de protection des donn\u00e9es interpr\u00e8tent comme une circonstance aggravante le fait qu&#8217;un responsable du traitement ayant commis une infraction disposait d&#8217;un DPO.<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_7');\" ><a id=\"footnote_plugin_reference_80_7\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>7<\/a><\/td> <td class=\"footnote_plugin_text\" >voir les articles 38 et 39 du GDPR<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_8');\" ><a id=\"footnote_plugin_reference_80_8\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>8<\/a><\/td> <td class=\"footnote_plugin_text\" >voir\u00a0: ROSSI, Julien. Les autorit\u00e9s nationales de protection des donn\u00e9es personnelles dans l&#8217;Union Europ\u00e9enne, \u00e9tude des causes des manquements constat\u00e9s par la Cour de Justice de l&#8217;Union Europ\u00e9enne, Lille:Institut d&#8217;\u00c9tudes Politiques, 2013. Disponible en ligne\u00a0: <\/span><span lang=\"fr-FR\"><a href=\"http:\/\/afcdp.net\/IMG\/pdf\/rossi_julien_memoire_autorites_nationales_de_pdp.pdf\">http:\/\/afcdp.net\/IMG\/pdf\/rossi_julien_memoire_autorites_nationales_de_pdp.pdf<\/a> <\/span><span lang=\"fr-FR\"><\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_9');\" ><a id=\"footnote_plugin_reference_80_9\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>9<\/a><\/td> <td class=\"footnote_plugin_text\" ><\/span><span lang=\"fr-FR\">Selon le consid\u00e9rant 89 du GDPR\u00a0: <\/span><span lang=\"fr-FR\">\u00ab\u00a0Ces obligations g\u00e9n\u00e9rales de notification sans distinction devraient d\u00e8s lors \u00eatre supprim\u00e9es et remplac\u00e9es par des proc\u00e9dures et des m\u00e9canismes efficaces ciblant plut\u00f4t les types d&#8217;op\u00e9ration<\/span><span lang=\"fr-FR\">s de traitement susceptibles d&#8217;engendrer un risque \u00e9lev\u00e9 pour les droits et libert\u00e9s des personnes physiques, du fait de leur nature, de leur port\u00e9e, de leur contexte et de leurs finalit\u00e9s.\u00a0\u00bb<\/span><span lang=\"fr-FR\"><\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_10');\" ><a id=\"footnote_plugin_reference_80_10\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>10<\/a><\/td> <td class=\"footnote_plugin_text\" >art. 30 paragraphe 2 du GDPR<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_11');\" ><a id=\"footnote_plugin_reference_80_11\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>11<\/a><\/td> <td class=\"footnote_plugin_text\" >art. 30 paragraphe 5<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_12');\" ><a id=\"footnote_plugin_reference_80_12\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>12<\/a><\/td> <td class=\"footnote_plugin_text\" >art. 35 paragraphe 1 du GDPR<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_13');\" ><a id=\"footnote_plugin_reference_80_13\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>13<\/a><\/td> <td class=\"footnote_plugin_text\" >notion d\u00e9finie, dans le cadre du r\u00e8glement, au paragraphe 16 de l&#8217;article 4 du GDPR<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_14');\" ><a id=\"footnote_plugin_reference_80_14\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>14<\/a><\/td> <td class=\"footnote_plugin_text\" >voir l&#8217;art. 62 du GDPR<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_15');\" ><a id=\"footnote_plugin_reference_80_15\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>15<\/a><\/td> <td class=\"footnote_plugin_text\" >Voir\u00a0: NEWMAN, Abraham L., <\/span><span lang=\"fr-FR\"><i>Protectors of Privacy, Regulating Personal Data in the Global Economy<\/i><\/span><span lang=\"fr-FR\">, Ithaca:Cornell University Press, 2008, 221 pages<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_16');\" ><a id=\"footnote_plugin_reference_80_16\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>16<\/a><\/td> <td class=\"footnote_plugin_text\" >Cet article de presse raconte l&#8217;op\u00e9ration, qui annonc\u00e9e pan-europ\u00e9enne, n&#8217;a finalement impliqu\u00e9 \u2013 de fa\u00e7on parfois limit\u00e9e \u2013 que six autorit\u00e9s nationales : <a href=\"http:\/\/www.zdnet.fr\/actualites\/google-6-cnil-europeennes-lancent-une-action-concertee-39788877.htm\">http:\/\/www.zdnet.fr\/actualites\/google-6-cnil-europeennes-lancent-une-action-concertee-39788877.htm<\/a> <\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_17');\" ><a id=\"footnote_plugin_reference_80_17\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>17<\/a><\/td> <td class=\"footnote_plugin_text\" >art. 75 \u00a72 du GDPR<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_18');\" ><a id=\"footnote_plugin_reference_80_18\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>18<\/a><\/td> <td class=\"footnote_plugin_text\" >art. 75 \u00a73 du GDPR<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_19');\" ><a id=\"footnote_plugin_reference_80_19\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>19<\/a><\/td> <td class=\"footnote_plugin_text\" >Voir\u00a0: les amendements \u00e0 l&#8217;art. 59 de la proposition originale de la Commission<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_20');\" ><a id=\"footnote_plugin_reference_80_20\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>20<\/a><\/td> <td class=\"footnote_plugin_text\" >CJCE 15 juillet 1963 Plaumann &amp; co. contre Commission de la Communaut\u00e9 \u00e9conomique europ\u00e9enne, aff. 25-62<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_21');\" ><a id=\"footnote_plugin_reference_80_21\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>21<\/a><\/td> <td class=\"footnote_plugin_text\" >CJCE 25 juillet 2002 Uni\u00f3n de Peque\u00f1os Agricultores contre Conseil de l&#8217;Union europ\u00e9enne, aff. C-50\/00 P<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_22');\" ><a id=\"footnote_plugin_reference_80_22\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>22<\/a><\/td> <td class=\"footnote_plugin_text\" >Art. 78 paragraphe 3 du GDPR<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_23');\" ><a id=\"footnote_plugin_reference_80_23\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>23<\/a><\/td> <td class=\"footnote_plugin_text\" >Dans le cadre du GDPR, ce probl\u00e8me est aggrav\u00e9 par le consid\u00e9rant 142 qui indique qu&#8217;\u00ab\u00a0une juridiction nationale peut ne pas soumettre une question relative \u00e0 la validit\u00e9 d&#8217;une d\u00e9cision du comit\u00e9 \u00e0 la demande d&#8217;une personne physique ou morale qui a eu la possibilit\u00e9 de former un recours en annulation de cette d\u00e9cision, en particulier si elle \u00e9tait concern\u00e9e directement et individuellement par ladite d\u00e9cision, et ne l&#8217;a pas fait dans le d\u00e9lai pr\u00e9vu \u00e0 l&#8217;article 263 du trait\u00e9 sur le fonctionnement de l&#8217;Union europ\u00e9enne\u00a0\u00bb<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_24');\" ><a id=\"footnote_plugin_reference_80_24\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>24<\/a><\/td> <td class=\"footnote_plugin_text\" >art. 84 paragraphe 7 du GDPR<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_25');\" ><a id=\"footnote_plugin_reference_80_25\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>25<\/a><\/td> <td class=\"footnote_plugin_text\" >Voir les explications fournies au consid\u00e9rant 151 du GDPR<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_26');\" ><a id=\"footnote_plugin_reference_80_26\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>26<\/a><\/td> <td class=\"footnote_plugin_text\" >art. 42 paragraphe 4 du GDPR<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_27');\" ><a id=\"footnote_plugin_reference_80_27\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>27<\/a><\/td> <td class=\"footnote_plugin_text\" >d\u00e9fini et \u00e9tudi\u00e9 par Colin Bennett et Charles Raab : Bennett, Colin J., et Charles D. Raab. <em>The Governance of Privacy. Policy Instruments in Global Perspective<\/em>. Aldershot: Ashgate, 2003<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_28');\" ><a id=\"footnote_plugin_reference_80_28\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>28<\/a><\/td> <td class=\"footnote_plugin_text\" >voir \u00e0 ce sujet, entre autres : Lyon, David. <em>Surveillance After Snowden<\/em>. Cambridge, Mass.: Polity Press, 2015<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_29');\" ><a id=\"footnote_plugin_reference_80_29\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>29<\/a><\/td> <td class=\"footnote_plugin_text\" >voir \u00e0 ce sujet : LESSIG, Lawrence. \u00ab Code is Law. On Liberty in Cyberspace \u00bb, <em>Harvard Magazine<\/em>, janvier 2000<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_30');\" ><a id=\"footnote_plugin_reference_80_30\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>30<\/a><\/td> <td class=\"footnote_plugin_text\" >U.S. House of Representatives, 1966. Hearings before a Subcommittee of the Committee on Government Operations, House of Representatives, 89th Congress, Second Session, 26, 27 et 28 juillet. Washington:U.S. Government Printing Office, p. 2<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_31');\" ><a id=\"footnote_plugin_reference_80_31\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>31<\/a><\/td> <td class=\"footnote_plugin_text\" >Loi n\u00b0 78-17 du 6 janvier 1978 relative \u00e0 l&#8217;informatique, aux fichiers et aux libert\u00e9s, JORF du 7 janvier 1978 pp. 227 et s.<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_32');\" ><a id=\"footnote_plugin_reference_80_32\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>32<\/a><\/td> <td class=\"footnote_plugin_text\" >Par exemple, selon le consid\u00e9rant 71\u00a0: \u00ab\u00a0La prise de d\u00e9cision et le profilage automatis\u00e9s fond\u00e9s sur des cat\u00e9gories particuli\u00e8res de donn\u00e9es \u00e0 caract\u00e8re personnel ne devraient \u00eatre autoris\u00e9s que dans des conditions sp\u00e9cifiques\u00a0\u00bb. Mais quelles sont ces \u00ab\u00a0conditions sp\u00e9cifiques\u00a0\u00bb ?<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_33');\" ><a id=\"footnote_plugin_reference_80_33\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>33<\/a><\/td> <td class=\"footnote_plugin_text\" >voir les consid\u00e9rants 65 et 66 et l&#8217;article 17<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_80('footnote_plugin_tooltip_80_34');\" ><a id=\"footnote_plugin_reference_80_34\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>34<\/a><\/td> <td class=\"footnote_plugin_text\" >voir le consid\u00e9rant 68 ainsi que les articles 15-3 et 20<\/td><\/tr>\r\n\r\n <\/tbody> <\/table> <\/div><\/div><script type=\"text\/javascript\"> function footnote_expand_reference_container_80() { jQuery('#footnote_references_container_80').show(); jQuery('#footnote_reference_container_collapse_button_80').text('\u2212'); } function footnote_collapse_reference_container_80() { jQuery('#footnote_references_container_80').hide(); jQuery('#footnote_reference_container_collapse_button_80').text('+'); } function footnote_expand_collapse_reference_container_80() { if (jQuery('#footnote_references_container_80').is(':hidden')) { footnote_expand_reference_container_80(); } else { footnote_collapse_reference_container_80(); } } function footnote_moveToAnchor_80(p_str_TargetID) { footnote_expand_reference_container_80(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.20 }, 380);\/*duration*\/ } }<\/script>","protected":false},"excerpt":{"rendered":"<p>Le r\u00e8glement 2016\/679\/UE, dit r\u00e8glement g\u00e9n\u00e9ral relatif \u00e0 la protection des donn\u00e9es, r\u00e9guli\u00e8rement cit\u00e9 selon son acronyme anglais GDPR (Generation Data Protection Regulation), a \u00e9t\u00e9 adopt\u00e9 d\u00e9finitivement par le Parlement europ\u00e9en le 14 avril 2016, au terme d&#8217;une proc\u00e9dure l\u00e9gislative&#8230;<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[13],"tags":[],"class_list":["post-80","post","type-post","status-publish","format-standard","hentry","category-jurisprudence","no-post-thumbnail"],"_links":{"self":[{"href":"https:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/posts\/80","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/comments?post=80"}],"version-history":[{"count":12,"href":"https:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/posts\/80\/revisions"}],"predecessor-version":[{"id":92,"href":"https:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/posts\/80\/revisions\/92"}],"wp:attachment":[{"href":"https:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/media?parent=80"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/categories?post=80"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/tags?post=80"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}