➢  Parfois, l’autorisation de la CNIL pour certains traitements particuliers est nécessaire : pour les traitements
               les plus dangereux comme lorsqu’il s’agit de biométrie.

            ➢  Si la déclaration n’a pas été effectuée ou si elle a été faite sans autorisation, le traitement est punissable.


        •  Ce système est remplacé par une obligation de conformité aux règles :

        Un responsable de traitement, personne physique ou morale qui détermine les finalités et les moyens du traitement

        de  données  à  caractère  personnel (art 4.7  du  R)  et  veille  au  respect  du  RGPD  sera  nommée.  Le  responsable  de
        traitement engagera sa responsabilité.

        Un  DPO  (Data  Protection  Officer)  sera  obligatoire  dans  les  entreprises  traitant  des  données  personnelles  à  une

        échelle importante et dans les entités publiques. Néanmoins cette obligation ne pèse pas sur toutes les entreprises.




        •  Apparition du principe privacy by design : conformité des règles par et dès la conception (ART 25).

        Concrètement, il faudra réfléchir en amont pour que le système qui sera mis en place soit conforme et anticipe les
        sujets  relatifs  aux  traitements  de  données  dès  les  premières  étapes  de  la  conception  du  projet  (objectif  de

        prévention). Il faudra donc anticiper la mise en œuvre d’un traitement du point de vue de la protection de la vie
        privée (exemple : pseudonymisation).




        •  Apparition du principe d’accountability :

        C’est la mise en œuvre de mécanismes permettant de démontrer le respect des règles relatives à la protection des

        données. Le responsable de traitement de données personnelles garde une documentation de chaque opération de
        traitement effectuée pour en apporter la preuve. Cela permet de rendre des comptes et répondre de sa conduite.


                  d.  Le champ d’application territoriale


        Le champ d’application territoriale s’étend :

        •  Au traitement de donnée à caractère personnel effectué dans le cadre des activités d’un établissement d’un
            responsable du traitement ou d’un sous-traitant sur le territoire de l’Union.

        •  Au traitement de données à caractère personnel relatives à des personnes concernées qui se trouvent sur le
                                                                           13
            territoire de l’UE par un responsable du traitement ou un sous-traitant   qui n’est pas établi dans l’Union.


                  e.  Nouveaux droits








        13  Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à
        caractère personnel pour le compte du responsable de traitement (art 4.8 du R)
                                                                                                               15