La protection des données personnelles en France suite à l’adoption du règlement général sur la protection des données à caractère personnel

La loi n ° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés aux (la  » Loi Informatique et Liberté  » ou  » LIL « ), de la protection Pilier des Données Personnelles en France, Modifiée juin Été Avait première fois en 2004 pour permettre la transposition en droit français des dispositions de la directive européenne de 1995 [1] sur la protection des données personnelles. La Loi Informatique et Liberté was Révisée en juin 2018 Fois nouvelle [2] AFIN d’integrer les nouvelles Évolutions de la législation européenne-ci Cette Fois Suite à l’adoption du règlement général sur la protection des Données [3] (le  » Règlement « ou » RGPD « ).

En fait, il est vrai que, bien que directement opposé à la transposition [4] , les latitudes laissées aux États-Unis étaient légèrement inférieures à celles qui étaient effectuées par ceux-ci. . À la date d’entrée en vigueur du Règlement, soit le 25 mai 2018, les membres peuvent ne pas satisfaire à cette obligation [5] . La France a adopté sa loi définitive le 20 juin 2018 avec application rétroactive au 25 mai.

La LIL, à l’instar du règlement, a réservé un champion territorial très étendu. Le critere principale de l’ Est rattachement de l’facility Celui du responsable du treatment Ou de fils sous-traitant sur le territoire français, par Complété critere du Celui « ciblage », à savoir l’LIL de la Applicabilité à les toutes ses treatment un Entités de effectuant à du personnel Données caractère, quel lieu Que d’their Soit facility , LORs Qué CE Dès treatment étau Une personne résidant en France [6] . The LIL va cependant au-delà du Règlement, en intégrant un critère de contrôle de souverainisme [7], and captant in son application, dépendant de son traitement, il est vrai que le traitement est en français, même si (i) la personne concernée par le traitement n’est pas un ressortissant en français et (ii) le responsable du traitement est établi hors de France [8] .

This application territorialement très étendu de la LIL amène à s’interroger sur les modalités d’un traitement conforme. Number of the Principles of Applied Applied Items of Use ). Les modifications significatives relatives aux droits accordés aux personnes dont les données sont personnelles sont enregistrées (III) et jusqu’à la décision des pouvoirs de la Commission nationale de l’informatique et des libertés ( » CNIL « ) (IV) .

I- Traitement des données à caractère personnel

Conservant les définitions antérieures des recettes, la LIL, la protection des personnes physiques exclusivement [9] , et en particulier du traitement [10] de leurs données personnelles [11] .

L’efficacité de cette protection, et le respect d’une application conforme de la loi LIL, sont mis en œuvre ou supervisés par le traitement, les acteurs de la LIL (A), et sont surveillés après règles un traitement licite des données à caractère personnel (B).

A- Les acteurs du traitement des données personnelles

L’acteur principal de LIL est le responsable du traitement [12] , c’est-à-dire la personne, l’autorité publique, le service ou l’autodétermination qui détermine les moyens et les finalités du traitement [13] , et subsidiairement le sous-traitant agissant sous-ses ordres [14]. Il s’agit donc de l’entité qui va collecter puis utiliser les données pour les personnes ayant besoin de son activité, par exemple un magasin qui traite les informations personnelles de ses clients (nom et adresse) pour les personnes ayant besoin de livraisons qu’il a effectuées. The treatment of treatment is not to the treatment of normal data, and the processing of normal data. Il est l’interlocuteur de la personne à qui les données sont rapportées. When le responsable du treatment à l’EST ÉTABLI foreign, il is Tenu de DESIGNER un correspondant de la CNIL Auprès de l’Accomplissement responsable des obligations prevues au titre de la LIL [15] .

Dans certains cas, le traitement est réservé à la protection des données [16] . Le délégué à la protection des données est indépendant, assure le respect de la loi et doit être choisi sur la base de ses qualités professionnelles [17] . Il s’agit du correspondant privilégié de l’autorité de contrôle nationale et du groupe de sociétés ou d’autorités publiques si leur structure le justifie.

L’ autorité de contrôle nationale et chargée de surveiller la conformité du traitement est la CNIL [18] . Elle est responsable du contrôle et de la rédaction des règles d’entreprise contraignantes, des codes de conduite et des clauses contractuelles types. Elle traite des recours administratifs et des notifications de violation. La CNIL est également l’interlocuteur du responsable du traitement / délégué à la protection des données dans le cadre de la consultation préalable prévue lors d’une analyse d’impact [19] .

Enfin, la CNIL est sous contrôle du comité européen de la protection des données qui remplace le G29 [20] . Ce comité a un rôle central de coordination et de conciliation entre les différentes autorités de contrôle [21] et de donneur d’avis.

B- Déroulé du traitement

Afin de traiter les données conformément, le responsable du traitement doit l’identifier (1), définir les finalités du traitement (2), la durée de la détention des informations personnelles de la personne concernée (3), et mettre en place of technique and organisationnelles in fine of a structure of Pour assurer la protection et la sécurité des données collectées (4).

1- Fondements du traitement

Pour que le principe soit respecté, que le principe soit respecté et que l’un des fondements soit répertorié dans la LIL et qui sont au nombre de 6 [22] :

1- le Consent : d’être valable AFIN [23] le Consent en Doït Être Donné à Une question Réponse et aisement accessible compréhensible, en des Annoter formulée Clairs et simples. Le consentement doit être normal [24] , spécifique, éclairé et univoque par ce qui est intéressé par le traitement dans une déclaration ou un acte positif clair [25] ) et explicite quant à son objet [26] . Le Consent des enfants fait l’objet de cessions Spécifiques [27] en fixatif à partir l’âge Duquet ILS PEUVENT their Consent Donner, à savoir Seul 15 ans [28] .

2- end of a contract: at the contracts, into data forward, to end of General Contracts, has a data, has no one has as name, has no name, has or number, and touch of touch. Seules les données nécessaires à la conclusion et à l’exécution du contrat doivent être collectées sur ce principe.

3- respect de l’obligation légale : il s’agit par exemple des dispositions imposées à divulguer des informations sur l’administration fiscale, ou dans le cadre de la prévention du blanchiment et de la lutte contre le terrorisme [29 ] .

4- La sauvegarde des intérêts vitaux de la personne concernée : this base, information, information, information, lors d’une urgence médicale par exemple (accident de la route), afin de protéger l’intégrité physique et la vie de la personne si elle n’est pas en mesure de donner son consentement [30] .

5- less of a public mission : it peut comprendre le traitement mis en œuvre par un ministère ou un service académique, ou encore un barreau ou une association de professionnels dans l’exercice de leurs fonctions disciplinaires [31] .

6- la poursuite des intérêts légitimes du responsable du traitement : n’existe pas dans la LIL de la définition de l’ intérêt légitime du responsable du traitement. Cependant, le 47 du Règlement Considérant [32] Apporte ici un certain Nombre de en insistant sur Précisions l’existence « D’une relation et appropriate pertinente between personne et le responsable concernée du treatment » et le fait Que la personne puisse « raisonnablement s’attendre »à un tel traitement de données. The treatment of the treatment of the one of a balance of balance in self-protection and self-protection rights of personne and related treatment, and the treatment is licite [33] .

2- Finalités du traitement

Le niveau de précision dans la définition des finalités du traitement est fonction du contexte du traitement. Il ne sera en aucun cas responsable du traitement d’une PME ou d’une multinationale, ou d’un traitement de manière occasionnelle ou répétée, d’une grande ou d’une petite échelle [34] . On pourrait parler de « contrôle juridique de l’attribution des données » [35] .

Conformément à la LIL, la finalité doit être déterminée avant le traitement, être explicite et légitime [36] . La détermination de la finalité du traitement doit être faite avec attention car c’est elle qui a été déterminée par la suite.

Le responsable du treatment may un treatment Effectuer ultérieur [37] , à la condition d’être compatible [38] , Pour Une finalité et / OU un Fondement Autre Que LORs de Celle la Utilisée Collecte initiale. La compatibilité est appréciée en liaison entre les deux finalités, la relation entre le traitement et la personne concernée, la nature et les conséquences du traitement. Deux finalités a priori incompatibles peuvent toutefois devenir la garantie et la protection de la responsabilité du traitement en cours de traitement ou de la pseudonymisation.

3- Durée de conservation des données personnelles

La durée de conservation des données personnelles par le responsable du traitement dépend de la finalité du traitement. Les données doivent impérativement être conservées [39] . This is not available in the data [40] .

In a time time. Il s’agit ici notamment des données conservées à des fins probatoires ou du respect des obligations légales comptables par exemple. Elles ne font pas l’objet d’un traitement actif, peuvent être stockées sur une base de données avec accès restreint, voire faire l’objet d’un chiffrement.

Enfin, les éléments peuvent être conservés de manière indéfinie, ils doivent également être identifiés. Il s’agit donc principalement de données qui seront agrégées ou anonymisées, pour une visée archivistique ou statistique par exemple [41] .

4- Mesures techniques et organisationnelles

Le responsable du traitement doit mettre en place un registre des traitements , consigné les fondements, les finalités et la durée du traitement, les destinataires des informations, les demandes des personnes concernées, les transferts ou les violations (cartographie des traitements) [42] . Ce registre est à disposition de la CNIL en cas de contrôle.

Il doit aussi instaurer les mesures de protection adéquates (sécurisation informatique, mots de passe, etc.) afin de protéger les données, afin qu’elles soient endommagées, altérées ou que des tiers non autorisés et accédés [43] . Le responsable du traitement instaure une structure organisationnelle adéquate afin de se conformer au principe de responsabilité [44] . Il doit également mesurer son degré d’exposition aux risques (financier ou financier) et de suivre les traitements dans le temps, le traitement des données, les risques de piratage et de ransomware .

Les responsables des traitements, des utilisateurs de services de communications électroniques, doivent notifier sans délai [45] à la CNIL toute violation [46], a subi une perte, la destruction, l’altération, ou la divulgation autorisé à des données personnelles [47] . La notification n’est pas déjà passée par un risque élevé pour la protection des droits et libertés de la personne concernée, et est simplement consignée dans le registre des violations du responsable du traitement si le chiffrement des données est donné en exemple du risque.

EIVP (EIVP) in the treatment is susceptible d’engendrer un risque élevé et consulter le CNIL sur les mesures adéquates à mettre en place. Il est obligatoire de procéder à des évaluations systématiques et approfondies des traitements personnels à grande échelle [48] , de la surveillance systématique d’une zone accessible au public [49] , ou encore du traitement des données sensibles [50 ] .

II- Coopération entre États membres et transferts hors de l’Union européenne

Un deuxième aspect, relativement inchangé dans la dernière version de LIL, a déclaré le principe de coopération entre les États membres de l’Union européenne pour le traitement des données personnelles et la question des transferts en dehors de l’Union.

A- Autorité «chef de file» – Guichet unique

La LIL reprend les dispositions du RGPD en instaurant un système de coopération renforcé entre les autorités de contrôle des États membres, et en facilitant l’accès à la justice [51] .

Ainsi, la CNIL sera-t-elle compétente pour traiter toutes les violations ou tous les actes liés à son traitement si ce dernier était son principal en France [52] . Sa compétence sera également appliquée aux établissements secondaires du traitement. L’autorité de contrôle nationale ne relève pas dans le pays. How to us this is not to the chef of file, interlocuteur unique de personne dont les données sont collectées selon un format de guichet unique, et autorité centralisatrice des procédures dans les différents États membres.

B- Transferts hors de l’Union européenne: decisions d’adéquation, garanties équivalentes et transferts atypiques

La LIL ne donne pas de définition de la notion de «transfert de données» [53] . Le RGPD a ajouté des précisions à ce sujet. I) i) a it of a general protection in iii) in the policy of assessment, or ii) in a self-assessment, or ii) in a general statement of garanties at iii

La décision d’adéquation [54] est la décision par laquelle la Commission européenne a déclaré que les niveaux de garantie adéquats. La Commission prend en compte les règles des droits généraux ou sectoriels, des droits de contrôle, des droits des opposants et des opposants, notamment lors de recours administratifs ou judiciaires [55] . La Commission doit suivre les évolutions de droit dans ces pays ou organisations, et ce au moins tous les 4 ans. À ce jour, seuls la Nouvelle-Zélande, Israël, la Suisse, l’Argentine et l’Uruguay passaient d’une telle reconnaissance d’adéquation, celle des États-Unis et du Canada n’était pas partielle [56] .

Le traitement de traitement peut également être soumis à une condition de garantie qui soit conforme à la présente loi et aux obligations [57] telle que l’édiction de règles d’entreprise contraignantes , de codes de conduite ou de clauses contractuelles types approuvées par la CNIL.

L’annulation du Safe Harbor [58] par la CJUE, c’est-à-dire la décision de la Commission postant que les États-Unis se présentaient à un niveau de protection adéquat. l’adoption en 2016 de son successeur, le Privacy Shield, entre les États-Unis et l’Union européenne.

Il est possible de transférer dans le cadre de transferts atypiques [59] , c’est-à-dire opérés sur le consentement de la personne intéressée, lorsqu’il s’agit d’un contrat, pour la constatation, l’exercice ou la défense des droits en justice [60] , ou encore à la CNIL avec une autorisation de transfert de données sensibles ou intéressant à la sureté de l’État [61] .

LIL, and partant in the RGPD, petites nouveautés et précisions entre les personnes qui s’assurent de la conformité du traitement des données ou encore, les modalités de celles-ci, mais pas de changement radical. En revanche, LIL opère des modifications majeures en ce qui concerne les droits des personnes dont les données sont collectées et les pouvoirs de contrôle et de sanction de la CNIL.

III- Renforcement des droits de la personne concernée

A- Droit d’information et d’accès

On-the-the-treatment-of-the-personne-of-the-person-is-is-the-may-and-of-the-may-time-of-the-work-of-the-social-of-the-health ()), de la base juridique et des finalités du traitement, des destinataires ou des catégories Destinataires de données personnelles, de durée de conservation de données [62] , de respect du droit de cause actuelle [63] , de redresseur, effacer, limiteur [64] ou de s’opposer au traitement [65]for the right of extract of the right on the one of the base of legal statement on the public, of the introduction of a right on the ACI ‘intention de procéder à un transfert.

Les informations transmises à la personne concernée doivent être claires et facilement accessibles. Ainsi, ils se sont laissés déterminer, ils ont été traités afin de ne pas être incarcérés à un stade donné, ils n’ont pas été utilisés auparavant [66] . Ce sont des informations qui ne sont ni fragmentées ni obligatoirement utilisateur à multiplier les actions pour trouver l’information, ni difficilement trouvables à cause des titres non explicites par exemple [67] .

B- Droit de rectification

Corolaire du droit d’accès à l’information, le droit de rectification [68] offre à la personne dont les données sont collectées ou sont susceptibles d’être traitées. This information is not to this information to change the different destinataires of the information, notamment les sous-traitants.

C- Droit de limitation du traitement et droit d’opposition

Contestation of the exactity of data, of the licence, of the treatment, or when the conservation of data is not nécessaire pour la finalité initiale, mais encore pour la constatation, l’exercice ou la défense des droits en justice, la personne concernée peut demander la limitation du traitement de ses données personnelles. Il s’agit ici de la suppression des informations temporairement sur la base du traitement et de la suppression de l’accès. Lorsque le traitement est effectué sur la base d’une mission d’intérêt public ou de satisfaction des intérêts légitimes, le responsable du traitement, la personne concernée dispose du droit de s’opposer au traitement, en exposant les raisons locataire à sa situation particulière.

D- Droit à l’oubli

Les personnes concernées ont un droit de regard sur leurs déclarations. Elles sont également nécessaires pour le traitement des déclarations finales, lors du retrait ou de la suppression des informations. satisfaction d’une obligation légale. Est ici que la Notons LIL ne pas les costume jurisprudentielles de Évolutions Dernières la Cour de Justice de l’Union Européenne en limitante le droit à l’oubli au droit à l’sans l’effacement Mais au droit au étendre déréférencement [69] , Sauf En savoir plus sur les données des mineurs [70] .

E- Droit à la portabilité des données

Le droit à la portabilité est le droit de la personne concernée à recevoir des données dans un format structuré, couramment utilisé et lisible. La personne concernée a donc le droit de récupérer ses données et sa demande de transfert à un autre responsable du traitement. Il est important de noter que le droit de lecture et le droit de portabilité sont deux droits distincts. Ainsi, en fait, nous ne sommes pas spécifiques à la personne concernée, la portabilité n’emporte pas l’effacement par le premier responsable du traitement des informations personnelles de la personne concernée par elle.

IV- Passage sous un régime de responsabilité et de renforcement des prérogatives de la CNIL

A- Certifications, codes de conduite et clauses contractuelles types

Passage au régime de responsabilité dans la LIL est contrôlé par la suppression des contrôles a priori par la CNIL, et partant des formalités préalables devant être passé par les responsables du traitement, pour passer à un système de contrôle à posteriori . Cependant, le régime d’autorisation préalable was s’agissant du Partiellement treatment maintenu des Données Dans le domaine de la santé [71] et du numéro d’inscription au répertoire d’identification nationale des Personnes d’morphologies Tenu par l’Institut National de la statistique et des études économiques [72] .

Malgré la suppression du contrôle préalable du traitement, la CNIL dispose d’ un outil permettant de garantir à priori le traitement d’une certaine conformité. En fait, elle peut octroyer des certifications ou des étiquettes et certains organismes pour pouvoir faire un traitement en interne conforme à la loi [73] . Elle peut également proposer et autoriser les codes de conduite et les clauses contractuelles qui permettent aux responsables de traitement de se conformer aux exigences de la LIL [74] , notamment dans le cadre de la migration vers le pays de destination. ‘une décision d’adéquation.

B- Contrôles et amendes de la CNIL

La CNIL voit ses pouvoirs de contrôle étendus, objet des articles 44 à 48 de la LIL. Elle a prolongé les heures de visite et le panneau de documents consultables lors d’un contrôle dans les locaux du responsable du traitement, du retrait de la limitation aux utilisateurs à usage professionnel, de la suppression de la limitation au secret professionnel [75] . Le montant des amendes administratives décidées par la CNIL est également significativement augmenté [76] , et les sanctions peuvent être prononcées sans mise en demeure préalable [77] . La CNIL n’est pas impliqué dans le traitement de la responsabilité.

La CNIL dispose de nombreux pouvoirs de sanction tels que mise en demeure, rappel de l’ordre, l’injonction de conformité sous astreinte [78] , retrait de la certification, retrait de certification, effacement ou limiteur traitement [79] , etc.

C- Actions judiciaires

Toute personne concernée dispose d’un droit de recours effectif contre une décision d’autorité de contrôle, ou de traitement en vertu de la responsabilité de non-conformité aux dispositions de la LIL [80]. . Ce n’est plus à la victime de prouver la faute, mais au responsable du traitement de montrer la conformité de son traitement. La réparation est intégrale, ainsi que les préjudices moraux que matériels.

Conformément au droit commun, la LIL conserve la possibilité de réaliser les actions de groupe pour faire cesser les manquements [81] . Elle a été introduite ailleurs avec la possibilité d’étendre les actions aux demandes en réparation, ainsi il a été saisi d’une opportunité ouverte par les dispositions du Règlement [82] .

LIL rappelle l’applicabilité des articles 226-16 à 226-24 du Code pénal. Ces dispositions prévoient notamment une peine de 5 ans d’emprisonnement et 300 000 € d’amende en cas de non respect des formalités préalables [83] , de la non-sécurisation des données [84] , de la collecte illicite [85] ou encore de conservation des données au-delà de la durée fixée [86] .

[1] Directive 95/46 / CE relative à la protection des personnes physiques et à la libre circulation des données.

[2] Loi n ° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, JORF n ° 0141 du 21 juin 2018.

[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques et à la liberté de traitement des données. directive 95/46 / CE (règlement général sur la protection des données).

[4] Article 288 du Traité sur le fonctionnement de l’Union européenne: « Le règlement une portée générale. Il est obligatoire dans tous ses éléments et il est directement applicable dans tout État membre. La directive lie tout le membre État », a-t-il déclaré .

[5] Nikolaj Nielsen,Huit pays ne respectent pas la date limite fixée par l’UE pour la protection des données, 18 mai 2018, EU Observer [https://euobserver.com/justice/141860][dernier accès 04.11.2018]. Il s’agit de la Belgique, la Bulgarie, la République tchèque, la République tchèque, la Hongrie, la Lituanie et la Slovénie.

[6] LIL – Articles 5 et 5-1 / RGPD – Article 3. Sont également concernées par le profil.

[7] Étude d’impact, projet de loi sur la protection des données personnelles, 12 décembre 2017, §3.2.2 p.75.

[8] LIL Article 5 (I) 2 °.

[9] LIL – Article 2 // RGPD – Considérant 13 et 14.

[dix]LIL – Article 2 alinéa 3: «Constituer un traitement de données à caractère personnel. la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de disposition, le rapprochement ou l’interconnexion, effacement ou la destruction. »// Voir en comparaison RGPD – Article 4:« «treatment», the operation operation, to global operation operation). la collecte, l ‘

NB: le règlement ajoute les données «génétiques».

NB également: la LIL et le RGPD ne seront pas applicables à une personne physique effectuant un traitement dans un cadre purement personnel ou domestique.

[11]LIL – Article 2, alinéa 2: «Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, soit directement, soit indirectement, par référence à un numéro propres. Identifier, is not a self-identifier, facilement, facilement, facilement, son identification, son identification, ne pas disposer ou être facilement accessible. »// Voir en comparaison RGPD – Article 4:« data on character staff », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée« personne concernée »); is notised be “personne physique identifiable”

[12] LIL – Article 3 (I) RGPD – Article 4: «responsable du traitement», personne physique ou morale, l’autorité publique, le service ou un autre organisme. d’autres, déterminent les finalités et les moyens du traitement; Lorsque les finalités et les moyens de traitement ont été traités par le droit de l’Union ou le droit de traitement. «Union ou par le droit d’un État membre».

[13] La CNIL, dans sa délibération sur la formation restreinte n ° SAN-2019-001 du 21 janvier 2019, a été sanctionnée par une sanction pécuniaire de la société Google LLC. in the general of the European Union of European Union. The CNIL, on the policy of RGPD. .

[14] The Critical Critical Review of Human Rights Control Processor Analysis of the finalities of the processing processing. On-off-the-treatment-treatment-by-the-treatment-to-the-one-of-the-one-tool-tool: pouvoir de contrôle, instructions ou données, expertise et politique de transparence.

[15] LIL Article 5 (II).

[16] RGPD – Article 37. (General Act). (16). sur ce dernier point voir LIL Article 70-17.

[17] Par ex. expertise particulière en droit et surtout dans le domaine de la protection des données personnelles.

[18] LIL – Article 11 (I).

[19] LIL 70-4 et RGPD – Articles 35 et 36. L’impact est effectivement effectué par le responsable du traitement. I) a ii) a general processing is a data of iii and a iii) a process of the security of iii zone accessible au public.

[20] Groupe de travail de l’article 29 de la directive de 1995.

[21] Ce rôle a été dévolu à la Commission.

[22]Bien qu’il n’existait pas de hiérarchie entre différents fondements du traitement, il y avait un consentement à un dérogatoire (voir par exemple: Anne Debet, Le consentement dans le RGP: rôle et définition, Communication – commerce électronique, n ° 4 avril 2018, p.37), on peut éventuellement être utilisé en dernier recours pour que le traitement soit rendu dangereux, en passant par celui-ci. On a opté pour un traitement qui est interdit. This hypothese is over all over be comforted by 7 formulation de la LIL dont le traitement doit être placé sous le consentement de la personne concernée,infra .

[23] LIL – Article 7. The law Act in French with RGPD.

[24] À propos de ce qui est dit en savoir plus sur un contrat de travail ou de fourniture de service n’est pas subordonné à un traitement de données à caractère personnel contrat ou service).

[25] Ne sera pas considéré comme un consentement normal. En revanche, tourner son portable dans le sens des aiguilles d’une montre ou faire un signe d’une caméra seront comme des consentements valables si la personne concernée a une conscience de la signification attachée à ces gestes.

Dans une décision précitée du 21 janvier 2019, la CNIL sera encore plus longue et précise, si certains parcours ont été mémorisés. peut être considéré comme conforme à différentes finales du traitement qu’il a été présenté de manière distincte au préalable et qu’il a été donné de façon à ce qu’il soit donné en tant que tel. pré-cochées. Pour que ce type de parcours soit utilisé soit conforme, soit conforme, soit possible, soit offert à chaque finalité, il est offert aux personnes avant la possibilité de tout accepter, ou de tout refuser,plus d’options . »

[26] Par exemple, dans le cadre du traitement des données sensibles, des décisions automatiques ou encore des transferts.

[27] LIL Article 7-1. RGPD – Article 8.

[28] Le Règlement fixe ce seuil à 16 ans, avec possibilité pour les États membres de l’abaisser jusqu’à 13 ans. The Legacy of English Act of the French Act of 20 June 2018, on a proposé d’abaisser ce seuil à 15 ans, alors que le Sénat souhaitait le maintien à 16 ans. La commission mixte paritaire finalement tranché pour 15 ans (Art 7-1 LIL). English text of add it to it in one under 15 and double consentement of the child légal and required légal aux côtés de l’enfant.

[29] Les obligations légales peuvent être facilement traitées.

[30] LIL – Article 8. L’inaptitude de la personne concernée à donner son consentement peut résulter d’une incapacité juridique ou d’une impossibilité matérielle.

[31] https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-can. -personal-data-be-processing_fr [dernier accès 20.11.2018].

[32]«Intérêts légitimes d’un responsable du traitement, comprenant un responsable du traitement, un agent de traitement, un ou des tiers, ou un tiers pouvant constituer une base juridique pour le traitement, à moins que les intérêts the rights and normalities of the personne concern. This is a self-interest self-interest. . En tout état de cause, l’existence d ‘ attentive interest, is not to self-review, is not to self-review, is not to self-tester, facilement, et comment, dans le cadre de la collecte de données à caractère personnel, à ce moment-là l’objet d’un traitement à une donnée donnée. Intérêts for Human Data Authorised Data Therapy of Personal Data Therapy. This name is not to self-based person. appliquer aux traitements effectués par les autorités publiques dans l’accomplissement de leurs missions. The treatment of data of personal stress. Le traitement des données à caractère personnel with a fun of prospect. » Le traitement des données à caractère personnel with a fun of prospect. » Le traitement des données à caractère personnel with a fun of prospect. »

[33] This is a self-based-based-based-using-legal-based-based-sollicitations, adressed-to-the-social-care-treatment-in-the-order-using-public-comment, ils pourraient être raisonnablement authentifiés. produits / services similaires à ceux préalablement consommés.

[34] Pour exemple, dans la décision précitée dans la note 3, les dernières poursuites ont été effectuées dans le cadre de Google «trop volumineux».

[35] Pf Benabou et Rechefeld.

[36] LIL – Article 6.

[37] LIL – Article 6. Le RGPD (Article 6) précise, opposé à la LIL, que le traitement initial doit alors être rendu sur un autre fondement que le consentement. En tant que consentement à être précis, il est impossible à traiter.

[38] Sont spécialement présumés compatibles avec les traitements archivistiques, scientifiques ou statistiques grâce aux garanties apportées (chiffrement, pseudonymisation, agrégation, etc.). La notion de «traitement statistique» restant à définir.

[39] LIL – Article 6.

[40] LIL – Article 32.

[41] LIL – Article 36.

[42] RGPD – Article 30.

[43] LIL – Article 34.

[44] Par exemple, nomination du délégué à la protection des données, formations du personnel, organigramme, politique interne, sous-comité pat thématique, approche projet-métier, appui sur des experts, etc.

[45] Comparer avec l’article 33 du RGPD qui prévoit une notification dans les 72 heures de la responsabilité du traitement de la violation, et qui ne limite pas la notification de la violation. communications électroniques ouvertes au public.

[46] Nota : la LIL reprend la définition de l’article 4 du RGPD: «Violation of Security Entraining of Auto Accident», «Destruction, destruction, destruction». à caractère personnel transmis, conservés ou traités d’une autre manière, ou non autorisés à de telles données. »

[47] LIL – Article 34 bis.

[48] Il est d’ailleurs surpris de constater que, dans sa décision mentionnée ci-dessus, note 13, de la CNIL, tout ce qui est en train de se passer est important.

[49] La liste dressée par le règlement devra être complétée par la CNIL.

[50] LIL – Article 70-4.

[51] LIL – Chapitre VII.

[52] Sur la notion d’établissement principal, voir supra note 13 .

[53] LIL – Chapitre XII.

[54] LIL – Article 68 et RGPD – Article 45.

[55] Nota : LIL – Article 68, «les dispositions en vigueur dans cet État, les mesures de sécurité qui sont appliquées, les caractéristiques propres du traitement».

[56] [https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-mondehnniter accès 21.11.2018].

[57] RGPD – Article 46.

[58] CJUE, 6 octobre 2015, C-362/14.

[59] RGPD – Article 49.

[60] LIL – Article 69 alinéa 1.

[61] LIL – Article 69 alinéa 2.

[62] LIL – Article 32

[63] LIL – Article 39.

[64] LIL – Article 40.

[65] LIL – Article 38.

[66] CNIL, délibération de la formation restreinte n ° SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire de la société Google LLC.

[67] Ibidem

[68] LIL – Article 40 et RGPD – Article 16.

[69] Grande chambre du 13 mai 2014, Google Espagne SL et Google Inc. contre Agence espagnole de protection des données (AEPD) et Mario Costeja González.

[70] LIL – Article 40 (II).

[71] LIL – Chapitre IX.

[72] LIL – Article 22.

[73] LIL – Article 11.

[74] Ibidem.

[75] Sauf pour le secret médical, les journalistes et les avocats.

[76] LIL – Article 46: 10 millions d’euros / 2% du chiffre d’affaires mondial ou 20 millions d’euros / 4% du chiffre d’affaires mondial.

La CNIL a utilisé ces nouveaux seuils pour la première fois dans la décision de condamnation de Google LLC du 21 janvier 2019: Google a été condamné à 50 millions d’amende (maximum 4% du montant total) affaires) en raison de manquements graves et continue à la protection des données personnelles.

[77] Ce qui était avant une obligation devient une simple faculté à la disposition du président de la CNIL.

[78] L’astreinte peut aller jusqu’à 100.000 € par jour de retard.

[79] LIL – Articles 45 et 46.

[80] LIL – Article 43 quinquies.

[81] LIL – Article 43 ter.

[82] RGPD – Article 80.

[83] Article 226-16 du code pénal.

[84] Article 226-17 du code pénal.

[85] Article 226-18 du code pénal.

[86] Article 226-20 du code pénal.