Ю. Г. Удовиченко*, В. У. Ногаева**
Общий регламент ЕС по защите персональных данных
Аннотация. Рассмотрен вопрос о принятии Европейским парламентом новой системы защиты персональных данных — Общего регламента ЕС по защите персональных данных. Регламент распространяется на все страны — участницы Евросоюза. Регламент вступает в силу 25 мая 2018 г. Документ содержит ряд весьма обременительных для организаций обязательств, но в то же время значительно расширяет и укрепляет права физических лиц. Принятие Регламента — огромный шаг по направлению к единому цифровому рынку, а расширение территориального охвата обеспечит более сбалансированное взаимодействие между контролерами данных в ЕС и за его пределами.
Ключевые слова: защита персональных данных, регламент ЕС, защита прав граждан, обязанности организаций, обмен данными, единый цифровой рынок.
DOI: 10.17803/1994-1471.2018.93.8.221-224
LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES
L'évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel.
Chaque jour les personnes physiques laissent des informations les concernant accessibles publiquement et à un niveau mondial. A l'ère du numérique, les données constituent un enjeu majeur pour les entreprises, notamment pour celles dont l'activité s'exerce dans un cadre mondialisé.
A cette fin, les institutions européennes ont estimé qu'il était primordial de rappeler que la
protection des données personnelles est un droit fondamental pour les individus.
Ainsi les institutions européennes ont décidé de mettre en place un cadre de protection des données solide et cohérent dans l'Union européenne.
En janvier 2012, la Commission européenne a proposé une réforme globale des règles en matière de protection des données personnelles dans l'Union européenne.
L'objectif de ce nouveau règlement est de «redonner aux citoyens le contrôle de leurs données
© Удовиченко Ю. Г., Ногаева В. У., 2018
* Удовиченко Юлия Геннадьевна, главный специалист по оценке регуляторных рисков ПАО «Газпром нефть», студент Московского государственного юридического университета имени О.Е. Кутафина (МГЮА) Yulia.g.udovichenko@gmail.com 117246, Россия, г. Москва, Научный пр-д, д. 17
** Ногаева Виктория Урузмаговна, кандидат педагогических наук, доцент кафедры иностранных языков Московского государственного юридического университета имени О.Е. Кутафина (МГЮА) vnogaeva@yandex.ru
125993, Россия, г. Москва, ул. Садовая-Кудринская, д. 9
personnelles, tout en simplifiant l'environnement réglementaire des entreprises».
Après 4 ans de négociations législatives, et quelque 4 000 amendements, le texte a été définitivement adopté par le Parlement européen le 14 avril 2016. Ce règlement remplace la directive européenne sur la protection des données personnelles adoptée en 1995 et sera applicable à partir du 25 mai 2018, c'est-à-dire dans 2 mois.
Avec le RGPD, l'Europe fournit un cadre unique et harmonisé pour la protection des données personnalisées, ses dispositions seront directement applicables dans l'ensemble des 28 États membres.
En outre, chaque Etat membre a la possibilité de mettre en place une législation nationale encore plus protectrice.
Règlement général sur la protection des données (RGPD), en anglais : General Data Protection Regulation (GDPR) poursuit trois objectifs principaux :
— renforcer les droits des personnes physiques dont les données sont utilisées;
— définir la responsabilité de tous les participants, traitant des données;
— crédibiliser la régulation dans le cadre de souveraineté numérique, grâce à un champ d'application étendu et des sanctions prévues en cas de la non-exécution.
La question qui émerge est de savoir qu'est-ce qu'une donnée à caractère personnel?
Votre nom, votre numéro de telephone, vos coordonnées bancaires, votre numéro de securité sociale, ainsi que votre adresse IP font partie de ce que l'on appelle des données à caractère personnel: ils permettent de vous identifier directement ou indirectement, par exemple par recoupement d'informations.
Par «traitement de données», on entend : toute opération éventuelle appliquée à des données à caractère personnel, telle que la collecte, l'utilisation, la gestion, la communication etc. Le RGPD s'applique lorsque le traitement a lieu sur le territoire de l'UE, ou le responsable de traitement ou le sous-traitant sont établis sur le territoire de l'UE (même si le traitement est effectué hors de l'UE), ou les personnes concernées par le traitement sont des citoyens ou ressortissants européens.
Quels sont les POINTS CLÉS?
Le règlement européen réaffirme et renforce les droits des personnes physiques, en crée de nouveaux, mieux adaptés aux évolutions des usages numérique, notamment:
Le droit à l'effacement.
La personne physiques a «le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant» et le responsable du traitement a l'obligation d'effacer ces données.
Le Profilage.
Selon la définition du RGPD, le profilage est le traitement automatisé de données à caractère personnel qui consiste à utiliser ces données pour évaluer certains aspects de la personne concernée, et analyser ou prédire ses intérêts, son comportement et d'autres attributs.
Le droit à la portabilité des données personnelles (un nouveau droit).
Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement.
Des principes de « protection des données dès la conception »
En anglais: Privacy by design) qui prescrit aux organisations de prendre en considération des exigences se rapportant à la protection des données perso dès la conception des produits et des services. Puis, la nouvelle règle de la «sécurité par défaut» qui impose à toute organisation de disposer d'un système d'information sécurisé.
Des notifications en cas de fuite de données.
Les entreprises et les organisations seront engagées à informer le plus tôt possible (si possible, dans un délai de 24 heures), l'autorité nationale de protection en cas de violations graves de données perso afin que les utilisateurs puissent prendre des mesures appropriées.
Traitement des données des enfants.
Les mineurs de moins de 16 ans seront mieux protégés: pour la première fois, la législation européenne impose des conditions spécifiques au traitement des données des enfants quand l'au-
torisation parentale sera nécessaire pour autoriser le traitement de leurs données (par exemple l'inscription sur un réseau social supposera une autorisation parentale pour les mineurs de moins de 16 ans). Le règlement européen prévoit la possibilité pour les États membres d'abaisser cet âge au niveau national législatif, sans aller en dessous de 13 ans.
La réforme apporte clarté et cohérence en ce qui concerne les règles à appliquer, et rétablit la confiance du consommateur, ce qui permettra aux entreprises de tirer pleinement parti des possibilités offertes par le marché unique numérique.
Le RGPD est conçu pour créer des opportunités commerciales et encourager l'innovation grâce à différentes mesures, y compris:
un ensemble unique de règles européennes — une législation européenne unique pour la protection des données
un délégué à la protection des données (en anglais: Data Protection Officer), chargé de la protection des données, sera désigné par les autorités publiques et par les entreprises qui traitent les données à grande échelle;
des règles européennes pour les entreprises non européennes — les entreprises basées en dehors de l'UE doivent appliquer les mêmes règles quand elles proposent des services ou des biens, ou suivent le comportement des personnes au sein de l'UE;
des règles propices à l'innovation — une garantie que les mesures de protection des données sont intégrées dans les produits et les services depuis les premières étapes du développement (protection des données dès la conception et par défaut); la pseudonymisation et le chiffrement; 72 heures pour informer l'autorité de protection des données d'une violation de données personnelles.
Les sanctions prévues donnent de quoi réfléchir!
En cas de non-respect du règlement, les organisations s'exposent à des amendes administratives pouvant s'élever de 10 à 20 millions d'euros, ou, dans le cas d'une entreprise, de 2 % jusqu'à 4 % du chiffre d'affaires annuel mondial.
La somme la plus élevée sera prise en compte.
4 % du chiffre d'affaires annuel mondial dans le cas de Google atteindra 2,5 milliards d'euros.
Selon une étude menée en décembre 2017 par PwC, la mise en conformité au RGPD est perçue comme une priorité pour 92 % des organisations américaines: 68 % comptent pour cela investir entre 1 et 10 millions de dollars et 9 % s'attendent à dépenser plus de dix millions de dollars.
La Sberbank comptent pour cela investir 1 million de dollars.
D'autres compagnies russes comme la VTBank, la RZD, Lukoil se préparent aussi à l'entrée en vigueur du règlement européen.
Le pas suivant.
À compter de mai 2018, la Commission européenne surveillera la manière dont les Etats membres appliquent les nouvelles règles et dans un an — en 2019 la Commission organisera un événement pour annoncer les résultats d'étude officielle de mise en œuvre de nouvelles règles pour définir leur influence réelle. Cet élément figurera également dans le rapport sur l'évaluation et le réexamen du règlement que la Commission est tenue d'élaborer pour le mois de mai 2020.
Pour en finir avec, j'aimerais citer les mots de M. Andrus Ansip, le vice-président de la Commission européenne chargé du marché unique numérique, qui a déclaré à ce propos: «Notre avenir numérique ne peut se bâtir que dans un climat de confiance. Chacun a droit à la protection de sa vie privée. Le renforcement des règles de l'UE en matière de protection des données deviendra une réalité le 25 mai prochain. C'est un immense pas en avant et nous sommes bien déterminés à en faire un succès pour tous.».
Материал поступил в редакцию 15 апреля 2018 г.
GENERAL DATA PROTECTION REGULATION
UDOVICHENKO Yulia Gennadievna — Regulatory Risk Assessment Chief Specialist of PJSC Gazprom
Neft, Student of the Kutafin State Law University (MSAL)
Yulia.g.udovichenko@gmail.com
117246, Russia, Moscow, Nauchniy proezd, d. 17
NOGAEVA Viktoria Uruzmagovna — PhD in Pedagogics, Associate Professor of the Department of
Foreign Languages of the Kutafin Moscow State Law University (MSAL)
vnogaeva@yandex.ru
125993, Russia, Moscow, ul. Sadovaya-Kudrinskaya, d. 9
Abstract. This report examines the new EU General Data Protection Regulation (GDPR) that will go into effect in May 2018 and will be directly applicable in all Member States without the need for implementing national legislation. Despite containing some onerous obligations for organizations, it protects and empowers all EU citizens' data privacy. Adoption of the regulation is a huge step towards EU Digital Single Market and expanded territorial scope of the GDPR will ensure a more balanced interaction between data controllers within and outside the EU.
Keywords: GDPR, protection of privacy, cross-frontier data flow, access to information, data protection, disclosure of information, personal data, EU regulation, EU Digital Single Market.