Règlement général sur la protection des données (RGPD)

Le Règlement général sur la protection des données (RGPD) est la principale loi de l'UE en matière de protection des données, en vigueur depuis le 25 mai 2018. Il s'applique à toute organisation qui traite des données personnelles de personnes dans l'Espace économique européen, quel que soit le lieu d'établissement de l'organisation. Le RGPD établit des principes de traitement licite (incluant la licéité, la loyauté, la transparence, la limitation des finalités, la minimisation des données, l'exactitude, la limitation de la conservation, l'intégrité et la responsabilité), définit six bases juridiques pour le traitement et accorde des droits étendus aux personnes concernées.

Le RGPD est appliqué par des autorités de protection des données (APD) indépendantes dans chaque État membre de l'UE/EEE, coordonnées par le Comité européen de la protection des données (CEPD). Les sanctions maximales atteignent 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le règlement a eu une profonde influence mondiale, inspirant des lois similaires au Brésil (LGPD), en Afrique du Sud (POPIA) et dans de nombreuses autres juridictions. Les principales exigences de conformité incluent la tenue de registres de traitement, la désignation d'un DPO lorsque requis, la réalisation d'AIPD pour les traitements à haut risque, la mise en œuvre de la protection des données dès la conception et la garantie de mécanismes de consentement valides.