Règlement général sur la protection des données

Le règlement no 2016/679, dit règlement général sur la protection des données (RGPD, ou encore GDPR, de l’anglais General Data Protection Regulation), est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel1. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne.
Après quatre années de négociations législatives, ce règlement a été définitivement adopté par le Parlement européen le 27 avril 2016. Ses dispositions sont directement applicables dans l’ensemble des 28 États membres de l’Union européenne à compter du 25 mai 2018.
Ce règlement remplace la directive sur la protection des données personnelles (95/46/CE) adoptée en 1995 (article 94 du règlement) ; contrairement aux directives, les règlements n’impliquent pas que les États membres adoptent une loi de transposition pour être applicables.
Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l’augmentation du pouvoir des autorités de contrôle.

En janvier 2012, la Commission européenne a proposé une réforme globale des règles en matière de protection des données personnelles dans l’Union européenne. Cette réforme comporte deux volets :
la mise à jour et la modernisation des principes énoncés dans la directive européenne de 1995 sur la protection des données, sous la forme de ce règlement général sur la protection des données1 ;
la rédaction d’une nouvelle Directive relative à la protection des données à caractère personnel dans le cadre des activités policières et judiciaires.
L’objectif de ce nouveau règlement est de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ».
Le Parlement européen a modifié ce règlement et l’a adopté le 12 mars 2014 en 1re lecture. Les négociations se sont poursuivies entre les délégations de la Commission européenne, du Parlement européen et du Conseil de l’Union européenne et ont pris fin le 15 décembre 2015. Le projet de règlement a été voté en Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) le 17 décembre 2015. La France a transposé le règlement dans une loi adoptée le 14 mai 2018.
Le règlement européen a été publié le 4 mai 2016 dans le Journal officiel de l’Union européenne et entre en vigueur le vingtième jour suivant celui de sa publication9.
Ce règlement, applicable à partir du 25 mai 2018, est « obligatoire dans tous ses éléments et directement applicable dans tout État membre ». Le scandale Facebook-Cambridge Analytica, autour de la récupération et de l’analyse de données à des fins électorales, éclate peu de temps avant sa mise en application.
En janvier 2020, une loi sur la protection des données inspirée du RGPD, le California Consumer Privacy Act (en), doit entrer en vigueur en Californie.