La GDPR (General Data Protection Regulation)
La GDPR (General Data Protection Regulation) est une nouvelle loi Européenne qui sera applicable à partir du 25 mai 2018.
Le but est de remplacer les lois concernant la protection des données personnelles des 28 pays membres de l’Europe par une seule.
Plus précisément :
La parution au Journal Officiel de l’Union européenne date du 4 Mai 2016
Article 99 Entrée en vigueur et application
- 1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne. (Donc le 24 Mai 2016)
- 2. Il est applicable à partir du 25 mai 2018.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
En résumé, et en très simplifié, vous aurez l’obligation:
Article 32 : de protéger vos données personnelles (Informations concernant vos prospects, vos clients, vos fournisseurs, vos salariés,….) de façon physique et logique (ce qui était déjà le cas, Article 34 des lois informatiques & Libertés).
Mais aussi, et je vous laisse lire le texte pour de plus amples renseignements:
- L’obligation de collecter les données personnelles de façon honnête et claire et de pouvoir le démontrer,
- La protection des enfants,
- Le droit à l’oubli ,au portage des informations, et à leur consultation
- Encadrement du profilage
En cas de manquement (liste non exhaustive)
Pour votre ordinateur
- perte ou vol
- crypto virus ou virus tout court qui va récupérer vos données
Mais aussi la tablette et le smartphone
- perte
- vol
- application qui collecte à votre insu vos contacts et les envois sur le web
Mais aussi perte ou vol des média mobiles
- CD
- Clé USB
- Disque dur externe
Mais aussi les emails
- Erreur de pièce jointe ou de destinataire
- L’utilisation de comptes « non propriétaire » ( du genre @gmail.com, @Yahoo.com, @laposte.net, …. bref, tout ce qui n’est pas @ma-societe.com). En effet, si votre compte se fait pirater, le pirate aura accès à vos contacts email et pourra se faire passer pour vous.
En effet, une personne mal intentionnée pourra faire de l’usurpation d’identité à partir des informations suivantes :
-prénom, nom, adresse postale, courriel, numéro de téléphone
-Eventuellement pour un salarié : n° de Sécurité Sociale, compte bancaire.
Vous devrez :
-Article 33 : Prévenir la CNIL sous 72 heures
-Article 34 : Prévenir les personnes concernées (si vous avez perdus vos données, ce ne sera pas simple sans sauvegarde par exemple)
Et vos sous-traitants, qu’ils soient Européens ou non devront respecter la GDRP
(Comptabilité externalisée, Application métier hébergée,…) :
Article 3 Champ d’application territorial
- 1.Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
- 2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées:
- a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
- b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
Article 28 Sous-traitant
1. Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
Les sanctions
-Article 82 et 83 Une sanction allant jusqu’à 4% de votre chiffre d’affaire mondiale ou 20 000 000€ pourra être appliquée
Et le point de vue de la CNIL ne sera pas le même entre un ordinateur qui n’est pas entretenu et un autre qui sera à jour au niveau Windows, des produits tiers et de son antivirus.
En effet, selon les articles 83-1,83-2, 83-2-d et 83-5
Article 83 Conditions générales pour imposer des amendes administratives
- 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.
- 2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:
- d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en oeuvre en vertu des articles 25 et 32;
- 5. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:
De même, la sauvegarde de vos données est imposée par :
Article 32 Sécurité du traitement
- 1.Compte tenu de l’état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
- b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
- c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
Alors, ne perdez pas de temps et contactez moi !!!
Mettez en place des solutions efficaces dès maintenant !!!!
Je mets à votre disposition mon expérience en sécurité informatique : Certification CISSP afin de vous proposer des solutions de:
- Supervision du PC et mise à jour des correctifs Microsoft
- La gestion des mises à jour des produits tiers (Acrobat Reader, java, flash,…)
- Un antivirus que je peux gérer de façon centralisée
- Sauvegarde de vos données en local et/ou dans le cloud sur des serveurs hébergés en France
- Partage de données dans le cloud sur des serveurs hébergés en France
- Un anti spam / antivirus au niveau de votre messagerie
- Des solutions de chiffrement
En effet, si vous pouvez démontrer que vos données ne sont pas exploitable (disque dur ou clé USB cryptées par exemple) vous n’aurez pas à prévenir l’utilisateur final (en cas de vol de votre PC ou clé USB par exemple), ce qui pour l’image de la société est un plus.
Article 34 Communication à la personne concernée d’une violation de données à caractère personnel
- 3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:
- a) le responsable du traitement a mis en oeuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;
Ci-dessous la liste des références:
Article 2 Champ d’application matériel
1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
Article 3 Champ d’application territorial
1.Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées:
a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
3. Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public.
Article 4 Définitions
1) «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
2) «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;
5) «pseudonymisation», le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;
6) «fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;
7) «responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre;
8) «sous-traitant», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
9) «destinataire», la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;
10) «tiers», une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel;
12) «violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données;
18) «entreprise», une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;
21) «autorité de contrôle», une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51 ; (La CNIL pour la France)
22) «autorité de contrôle concernée», une autorité de contrôle qui est concernée par le traitement de données à caractère personnel parce que: (La CNIL pour la France)
a) le responsable du traitement ou le sous-traitant est établi sur le territoire de l’État membre dont cette autorité de contrôle relève;
b) des personnes concernées résidant dans l’État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l’être; ou
c) une réclamation a été introduite auprès de cette autorité de contrôle;
Article 5 Principes relatifs au traitement des données à caractère personnel
1. Les données à caractère personnel doivent être:
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui- ci est respecté (responsabilité).
Article 24 Responsabilité du responsable du traitement
1.Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.
2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en oeuvre de politiques appropriées en matière de protection des données par le responsable du traitement.
1. Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.2. Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;c) prend toutes les mesures requises en vertu de l’article 32;
d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;
e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;
f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;
g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel; et
h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.
4.Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.
5. L’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.
6. Sans préjudice d’un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu’elles font partie d’une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.
7. La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d’examen visée à l’article 93, paragraphe 2.
8. Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l’article 63.
9. Le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.
10. Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.
Article 32 Sécurité du traitement
1.Compte tenu de l’état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
2.Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.
4.Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.
Article 33 Notification à l’autorité de contrôle d’une violation de données à caractère personnel
1.En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
3. La notification visée au paragraphe 1 doit, à tout le moins:
a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c) décrire les conséquences probables de la violation de données à caractère personnel;
d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
4. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article.
Article 34 Communication à la personne concernée d’une violation de données à caractère personnel
1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d).
3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:
a) le responsable du traitement a mis en oeuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;
b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser; c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
4. Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.
Article 58 Pouvoirs
1. Chaque autorité de contrôle dispose de tous les pouvoirs d’enquête suivants:
a) ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant, de lui communiquer toute information dont elle a besoin pour l’accomplissement de ses missions;
b) mener des enquêtes sous la forme d’audits sur la protection des données;
c) procéder à un examen des certifications délivrées en application de l’article 42, paragraphe 7;
d) notifier au responsable du traitement ou au sous-traitant une violation alléguée du présent règlement;
e) obtenir du responsable du traitement et du sous-traitant l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l’accomplissement de ses missions;
f) obtenir l’accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l’Union ou au droit procédural des États membres.
2. Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes:
a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement;
b) rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement;
c) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement;
d) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé;
e) ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel;
f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement;
g) ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement en application des articles 16, 17 et 18 et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l’article 17, paragraphe 2, et de l’article 19;
h) retirer une certification ou ordonner à l’organisme de certification de retirer une certification délivrée en application des articles 42 et 43, ou ordonner à l’organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites;
i) imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas;
j) ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale.
Article 82 Droit à réparation et responsabilité
1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.
3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
4. Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.
5. Lorsqu’un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2.
Article 83 Conditions générales pour imposer des amendes administratives
1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.
2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi;
b) le fait que la violation a été commise délibérément ou par négligence;
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en oeuvre en vertu des articles 25 et 32;
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;
f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs;
g) les catégories de données à caractère personnel concernées par la violation;
h) la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;
i) lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;
j) l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42; et
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.
3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.
4. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:
a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43;
b) les obligations incombant à l’organisme de certification en vertu des articles 42 et 43;
c) les obligations incombant à l’organisme chargé du suivi des codes de conduite en vertu de l’article 41, paragraphe 4.
5. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:
a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;
b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22
c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;
d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;
e) le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, ou le fait de ne pas accorder l’accès prévu, en violation de l’article 58, paragraphe 1.
Article 99 Entrée en vigueur et application
1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne. ( Le 4 mai 2016 + 20 jours=24 Mai 2016 )
2. Il est applicable à partir du 25 mai 2018.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.