Article 24
Responsabilité du responsable du traitement

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 24 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 24 keyboard_arrow_up

(74) Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en oeuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

(76) Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

(77) Des directives relatives à la mise en oeuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d’indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.

(84) Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait assumer la responsabilité d'effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la particularité et la gravité de ce risque. Il convient de tenir compte du résultat de cette analyse pour déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel respecte le présent règlement. Lorsqu'il ressort de l'analyse d'impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en oeuvre, il convient que l'autorité de contrôle soit consultée avant que le traitement n'ait lieu.

Le GDPR

L’article 24 met en œuvre un « principe général de responsabilité » au premier rang des obligations générales du responsable du traitement, dont la définition reste inchangée depuis la Directive. En effet, le responsable du traitement est défini comme « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités (…) et les moyens du traitement de données à caractère personnel » (art. 4, 7).

Le principe repris en son §1er se divise en deux règles.

La première règle affirme la responsabilité particulière du responsable de traitement dans la mise en œuvre des mesures techniques et organisationnelles appropriées en vue d’effectuer le traitement dans le respect du Règlement.

La proposition initiale prévoyait une liste des mesures en cause, mais n’a pas été reprise dans la version finale. Elle est cependant très utile pour comprendre la portée du principe. On y visait la plupart des mesures générales indéterminées ou peu précisées par le texte du Règlement, telles que : la tenue de la documentation prévue à l’article 30, la mise en œuvre des obligations de sécurité des données prévues à l’article 32, la réalisation d’une analyse d’impact relative à la protection des données en application de l’article 35, le respect des obligations en matière d’autorisation ou de consultation préalable de l’autorité de contrôle en application de l’article 36 §1er et §2, la désignation d’un délégué à la protection des données en application de l’article 37 §2 et §3.

Cette première règle prévoit aussi que pour déterminer les mesures techniques et organisationnelles appropriées, il y a lieu de tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que de la probabilité et de la gravité des risques au regard des droits et libertés des personnes physiques.

Les considérants 75 et 76 donnent de nombreux exemples des risques visés : traitements susceptibles d’entraîner des dommages physiques, matériels ou moraux, en particulier lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, lorsqu’il s’agit d’un traitement des données sensibles, lorsque des aspects personnels sont évalués, etc. Il convient de déterminer la probabilité et la gravité en fonction de la nature, de la portée, du contexte et des finalités du traitement de données. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque élevé. Selon le considérant 60 ter, on entend par risque élevé un risque particulier de porter atteinte aux droits et aux libertés des personnes physiques.

Le §2 de l’article 24 indique que si elles sont proportionnées aux activités de traitement des données, ces mesures comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

La seconde règle découle de la première et porte sur la preuve de la mise en œuvre de ces mesures. La charge de la preuve repose alors sur les épaules du responsable du traitement qui doit être à même de démontrer que le traitement des données à caractère personnel est effectué dans le respect du Règlement.

Le 3ème paragraphe prévoit que l'adhésion aux codes de conduite approuvés visés à l'article 40 ou à un mécanisme de certification approuvé visé à l'article 42 peut être utilisée comme moyen attestant du respect des obligations incombant au responsable du traitement. Le considérant 77 quater vise également les indications données par le délégué à la protection des données.

La Directive

Ni la Directive, ni les législations analysées dans le présent commentaire ne prévoyaient une disposition comparable à celle prévue à l’article 22 du Règlement.

Difficultés probables ?

Cette disposition permet de mieux comprendre la portée de l’augmentation des obligations qui pèsent sur les responsables qui sont à apprécier au regard de l’augmentation des moyens de contrôle des responsables et des sanctions en cas de non-respect des obligations issues du Règlement.

La détermination des mesures techniques et organisationnelles appropriées est à ne pas douter une des plus grandes difficultés auxquelles seront confrontées les responsables dans la mise en conformité de leurs traitements au Règlement.

Elle va exiger de revoir la conformité de tous les traitements existants et la mise en place de processus de détermination de celles-ci. Cela exigera une grande coordination entre les différents services de l’entreprise ou des autorités publiques (IT, juridique, RH, marketing…) qui seront confrontés à la mise en place de processus d’analyse de risques et des mesures à prendre correspondantes, notamment en matière de sécurité des traitements. La « compliance » au Règlement va devoir atteindre un degré de professionnalisation et de mise en œuvre de moyens sans commune mesure avec ce qui est prévu aujourd’hui.

Sommaire

Union Européenne

Belgique

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices sur l’application et la fixation des amendes
administratives aux fins du règlement (UE) 2016/679 - wp253 (3 octobre 2017)

(Approuvées par le CEPD)

L’Union européenne a mené à bien une réforme approfondie de la réglementation relative à la protection des données en Europe. Cette réforme repose sur plusieurs piliers (éléments clés): des règles cohérentes, des procédures simplifiées, des actions coordonnées, la participation des utilisateurs, une information plus efficace et des pouvoirs renforcés d’application des règles.

Les responsables du traitement et les sous-traitants sont plus que jamais chargés de veiller à la protection effective des données à caractère personnel des individus. Les autorités de contrôle sont investies de pouvoirs pour garantir que les principes du règlement général sur la protection des données (ci-après le «règlement») ainsi que les droits des personnes concernées sont respectés conformément à l’esprit et à la lettre du règlement.

L’application cohérente des règles relatives à la protection des données est essentielle à un régime harmonisé de protection des données. Les amendes administratives sont au coeur du nouveau régime d’application introduit par le règlement. Elles constituent un élément efficace de la panoplie dont les autorités de contrôle disposent pour faire respecter la réglementation, parallèlement aux autres mesures prévues par l’article 58.

Le présent document vise à aider les autorités de contrôle, auxquelles il est destiné, à améliorer l’application du règlement et à mieux le faire respecter. Il reflète leur compréhension commune des dispositions de l’article 83 du règlement ainsi que son interaction avec les articles 58 et 70 et les considérants correspondants.

En particulier, l’article 70, paragraphe 1, point e), prévoit que le comité européen de la protection des données (ci-après le «CEPD») est habilité à publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l’application cohérente du présent règlement. L’article 70, paragraphe 1, point k), précise la disposition pour ce qui est des lignes directrices concernant la fixation des amendes administratives.

Les présentes lignes directrices ne sont pas exhaustives et ne fournissent pas d’explications sur les différences entre les systèmes administratifs, civils ou pénaux lors de l’imposition de sanctions administratives en général.

Afin d’assurer une approche cohérente de l’imposition des amendes administratives, qui reflète de manière adéquate l’ensemble des principes énoncés dans les présentes lignes directrices, le CEPD a convenu d’une définition commune des critères d’évaluation visés à l’article 83, paragraphe 2, du règlement. Le CEPD et chaque autorité de contrôle conviennent donc d’utiliser les présentes lignes directrices dans le cadre d’une approche commune.

Lien

Lignes directrices sur l’analyse d’impact relative à la protection des données
(AIPD) - wp248rev.01 (4 octobre 2017)

(Approuvées par le CEPD)

Le règlement (UE) 2016/679 (RGPD) s’appliquera à partir du 25 mai 2018. De la même manière que la directive 2016/680, l’article 35 du RGPD introduit la notion d’analyse d’impact relative à la protection des données (AIPD),

Une AIPD est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face. Les AIPD sont un outil important au regard du principe de responsabilité, compte tenu de leur utilité pour les responsables du traitement non seulement aux fins du respect des exigences du RGPD, mais également en ce qui concerne leur capacité à démontrer que des mesures appropriées ont été prises pour assurer la conformité au règlement (voir également l’article 24). Autrement dit, une AIPD est un processus qui vise à assurer la conformité aux règles et à pouvoir en apporter la preuve.

En vertu du RGPD, le non-respect des exigences applicables en matière d’AIPD peut donner lieu à des amendes imposées par l’autorité de contrôle compétente. Le fait de ne pas effectuer d’AIPD alors que le traitement est soumis à l’obligation d’une telle analyse (article 35, paragraphes 1, 3 et 4), de réaliser l’analyse d’une manière incorrecte (article 35, paragraphes 2 et 7 à 9) ou de ne pas consulter l’autorité de contrôle compétente lorsque la situation l’exige (article 36, paragraphe 3, point e), est passible d'une amende administrative pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Lien

Retour au sommaire

Belgique

Autorité de protection des données (APD)

Recommandation d'initiative concernant l'analyse d'impact relative à la protection des données et la consultation préalable - 1/2018 (28 février 2018)

1. Le Règlement général sur la protection des données (RGPD) prévoit plusieurs nouvelles obligations pour les responsables du traitement. Une des nouvelles obligations figurant dans le RGPD concerne l'obligation de réaliser - dans certaines circonstances - une "analyse d'impact relative à la protection des données", en abrégé "AIPD".

2. Une AIPD est un processus dont l’objet est de décrire le traitement de données à caractère personnel, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques qui y sont liés en les évaluant et en déterminant les mesures nécessaires pour y faire face.

3. La Directive Police et Justice (Directive 2016/680) prévoit également une obligation de réaliser une AIPD dans certaines circonstances. Les lignes directrices reprises dans la présente recommandation, qui s'inspirent des dispositions du RGPD, s'appliquent mutatis mutandis pour l'interprétation des dispositions pertinentes de la Directive 2016/680.

4. Le but de la présente recommandation est de fournir des explications plus détaillées concernant : (1) les circonstances dans lesquelles une AIPD est obligatoire (section 3) ; (2) les éléments essentiels d’une AIPD (section 5) ; (3) les circonstances dans lesquelles une consultation préalable est obligatoire (section 6) ; (4) les acteurs qui doivent être impliqués dans une AIPD (section 7) ; et (5) plusieurs dispositions particulières (section 8).

5. Un précédent projet de recommandation a été soumis à une consultation publique du 20 décembre 2016 au 28 février 2017. La présente recommandation tient compte des remarques et suggestions qui ont été formulées par des entreprises, des fédérations sectorielles et des universitaires, ainsi que de la version finale des lignes directrices du Groupe de protection des données Article 29 promulguées en octobre 2017.

6. La présente recommandation ne comporte aucun modèle établi, ni de vade-mecum pour la réalisation d'une AIPD. Bien qu'il existe plusieurs modèles et vade-mecum, la Commission encourage les fédérations sectorielles à élaborer des codes de conduite adaptés aux traitements de données au sein de leur secteur et qui sont adaptés en particulier aux besoins des petites, moyennes et micro- entreprises. Il n'est toutefois pas exclu qu'à l'avenir, la Commission mette à disposition un formulaire et/ou un vade-mecum complémentaire qui pourrait servir de point de départ à la réalisation d'une AIPD ou dans le cadre d'une consultation préalable. 

Lien

Retour au sommaire

Sommaire

Union Européenne

Belgique

Union Européenne

Jurisprudence de la CJUE

C-210/16 ( 5 juin 2018) - Wirtschaftsakademie Schleswig-Holstein

1)      L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social.

2)      Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.

3)      L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.

Lien

C-340/21,  VB contre Natsionalna agentsia za prihodite (14 décembre 2023)

1)      Les articles 24 et 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, de ce règlement, ne suffisent pas, à eux seuls, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées », au sens de ces articles 24 et 32.

2)      L’article 32 du règlement 2016/679

doit être interprété en ce sens que :

le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement au titre de cet article doit être apprécié par les juridictions nationales de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques.

3)      Le principe de responsabilité du responsable du traitement, énoncé à l’article 5, paragraphe 2, du règlement 2016/679 et concrétisé à l’article 24 de celui‑ci,

doit être interprété en ce sens que :

dans le cadre d’une action en réparation fondée sur l’article 82 de ce règlement, le responsable du traitement en cause supporte la charge de prouver le caractère approprié des mesures de sécurité qu’il a mises en œuvre au titre de l’article 32 dudit règlement.

4)      L’article 32 du règlement 2016/679 et le principe d’effectivité du droit de l’Union

doivent être interprétés en ce sens que :

afin d’apprécier le caractère approprié des mesures de sécurité que le responsable du traitement a mises en œuvre au titre de cet article, une expertise judiciaire ne saurait constituer un moyen de preuve systématiquement nécessaire et suffisant.

5)      L’article 82, paragraphe 3, du règlement 2016/679

doit être interprété en ce sens que :

le responsable du traitement ne saurait être exonéré de son obligation de réparer le dommage subi par une personne, au titre de l’article 82, paragraphes 1 et 2, de ce règlement, du seul fait que ce dommage résulte d’une divulgation non autorisée de données à caractère personnel ou d’un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, dudit règlement, ledit responsable devant alors prouver que le fait qui a provoqué le dommage concerné ne lui est nullement imputable.

6)      L’article 82, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition.

Arrêt rendu

Conclusions de l'avocat général

Retour au sommaire

Belgique

Bruxelles – Section Cour des marchés n° 2020/AR/1160 (24 février 2021)

S'agissant de la question de savoir si un consentement est requis pour figurer ou non dans les annuaires téléphoniques et quelle est la portée de ce consentement, la Cour d'appel a également considéré que :

1° Dans les situations où la directive e-Privacy précise les règles édictées par le RGPD, ces dispositions particulières de la directive e-Privacy en tant que lex specialis prévalent sur les dispositions plus générales du RGPD. (principe de Lex specialis derogate legi generali)

2° L'article 12, paragraphe 1, et le considérant 38 de la directive ePrivacy font référence à l'exigence du consentement éclairé au sens de la directive 95/46/EG des abonnés pour être inclus dans les annuaires publics. Suite à l'article 94 GDPR qui stipule que toutes les références à 95/46/EG doivent être considérées comme des références au GDPR, les articles susmentionnés font donc référence au "consentement" à la lumière du GDPR et donc à la condition d'un consentement valide (article 7 GDPR) doit être respecté.

3° Ce consentement porte sur la finalité de publication des données personnelles dans les annuaires, mais pas sur l'identité du fournisseur de l'annuaire. Par conséquent, le tribunal déclare que le consentement donné sera également valable pour le traitement ultérieur des données personnelles par d'autres fournisseurs d'annuaires, à condition que ce traitement ait la même finalité.

Etant donné qu'il s'agit d'une matière complexe qui soulève des questions qui ne sont pas encore abordées par le législateur, la Cour d'appel de Bruxelles a sursis à statuer pour demander à la Cour de justice une décision préjudicielle sur les questions suivantes :

1° L'article 72.2 de la directive e-Privacy 2002/58/CE, lu en combinaison avec l'article 2, sous f), de cette directive et avec l'article 95 du règlement général sur la protection des données doit-il être interprété comme permettant d'interpréter un contrôle national comme permettant à une autorité de contrôle nationale d'exiger le "consentement" d'un abonné au sens du règlement général sur la protection des données comme base pour la publication des données à caractère personnel de l'abonné dans les annuaires publics et les services de renseignements téléphoniques, tant ceux publiés par l'opérateur lui-même et par des prestataires tiers, prestataires, en l'absence de législation nationale contraire ?

2° Le droit d'effacement prévu à l'article 17 du règlement général sur la protection des données doit-il être interprété en ce sens qu'il s'oppose à ce qu'une autorité nationale de contrôle considère une demande de radiation d'un particulier des annuaires publics et des services de renseignements comme une demande d'effacement au sens de l'article 17 du Règlement général sur la protection des données ?

3° L'article 24 et l'article 5, paragraphe 2, du règlement général sur la protection des données doivent-ils être interprétés en ce sens qu'ils s'opposent à ce qu'une autorité nationale de contrôle conclue de l'obligation de responsabilité qui y est contenue que le responsable du traitement doit prendre les mesures techniques et organisationnelles appropriées pour informer les tiers responsables du traitement, à savoir le fournisseur de services téléphoniques et, entre autres, les fournisseurs d'annuaires téléphoniques et de services de renseignements téléphoniques qui ont reçu des données de ce responsable du traitement, de tout retrait de consentement par la personne concernée conformément à l'article 6 en liaison avec l'article 7 du règlement ?

4° L'article 17.2 du règlement général sur la protection des données doit-il être interprété en ce sens qu'il s'oppose à ce qu'une autorité nationale de contrôle enjoigne à un fournisseur d'annuaires publics et de services de renseignements téléphoniques auquel il est demandé de cesser de divulguer des données relatives à une personne physique de prendre des mesures raisonnables pour informer les moteurs de recherche de cette demande de suppression de données ?

Arrêt rendu (Néerlandais)

Retour au sommaire Retour au sommaire
Règlement
1e 2e

Art. 24

1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en oeuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou de mécanismes de certification approuvés comme le prévoit l'article 42 peut servir d'élément attestant du respect des obligations incombant au responsable du traitement.

Proposition 1 close

Art. 22

1. Le responsable du traitement adopte des règles internes et met en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect du présent règlement.

 2. Les mesures prévues au paragraphe 1 portent notamment sur:

a) la tenue de la documentation en application de l'article 28;

b) la mise en œuvre des obligations en matière de sécurité des données prévues à l’article 30;

c) la réalisation d'une analyse d’impact relative à la protection des données en application de l'article 33;

d) le respect des obligations en matière d'autorisation ou de consultation préalables de l'autorité de contrôle en application de l'article 34, paragraphes 1 et 2;

e) la désignation d'un délégué à la protection des données en application de l’article 35, paragraphe 1. 3.

Le responsable du traitement met en œuvre des mécanismes pour vérifier l’efficacité des mesures énoncées aux paragraphes 1 et 2. Sous réserve de la proportionnalité d'une telle mesure, des auditeurs indépendants internes ou externes procèdent à cette vérification. 4. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées visées au paragraphe 1, autres que celles déjà visés au paragraphe 2, les conditions de vérification et mécanismes d'audit visés au paragraphe 3 et le critère de proportionnalité prévu au paragraphe 3, et afin d'envisager des mesures spécifiques pour les micro, petites entreprises et moyennes entreprises.

Proposition 2 close

Art. 22

1. En tenant compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que de la probabilité et de la gravité des risques au regard des droits et des libertés des personnes physiques, le responsable du traitement (…) met en œuvre les mesures appropriées et est à même de démontrer que le traitement des données à caractère personnel est effectué dans le respect du présent règlement.

2. (…)

2 bis. Lorsqu'elles sont proportionnées aux activités de traitement de données, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

2 ter. L'adhésion aux codes de conduite approuvés visés à l'article 38 ou un mécanisme de certification approuvé visé à l'article 39 peuvent être utilisés comme moyen de démontrer le respect des obligations incombant au responsable du traitement.

3. (…)

 4. (…)

Directive close

Pas de disposition correspondante.

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 57

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

En application de l'article 24 du règlement (UE) 2016/679 du 27 avril 2016, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément à ce même règlement et à la présente loi.

Le responsable du traitement et, le cas échéant, son représentant tiennent le registre des activités de traitement dans les conditions prévues à l'article 30 de ce règlement. Ils désignent un délégué à la protection des données dans les conditions prévues par la section 4 du chapitre IV du même règlement.

Ancienne loi close

Aucune disposition spécifique

Décret d'application.

CF TITRE VI décret pris pour l'application de la loi n°78-17 du 6 janvier 1978.

close