1 / 57

La Protection des Données Personnelles

La Protection des Données Personnelles. Cours 6 Danièle Véret Avocat. OBJECTIFS DU COURS. Etudier les principes généraux applicables au domaine de la protection des données personnelles en France et dans l’UE

janet
Télécharger la présentation

La Protection des Données Personnelles

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. La Protection des Données Personnelles Cours 6 Danièle Véret Avocat

  2. OBJECTIFS DU COURS • Etudier les principes généraux applicables au domaine de la protection des données personnelles en France et dans l’UE • Etudier les règles spécifiques applicables à la protection des données personnelles et internet • Etudier les principes applicables aux transferts transnationaux de données

  3. Thèmes couverts • Introduction : comment est réglementé le domaine de la protection des données ? • Etendue de la protection des données • La Commission Nationale de l’Informatique et des Libertés (CNIL) • Les principes applicables à la collecte de données personnelles • Les principes applicables à la protection des personnes et à leurs données • Les obligations applicables au responsable du traitement de données • La protection des données et internet • Les transferts de données à l’international

  4. Introduction : Historique (1) • La France, premier pays à mettre en œuvre une législation sur la protection de la vie privée avec la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « Loi Informatique et Libertés ». • Fondements : droits fondamentaux relatifs à la protection des droits de l’Homme • En réaction au développement de l’informatique dans la société et des bases de données automatisées

  5. Historique (2) • Le droit européen s’est intéressé à la question plus tardivement  Directive 95/46/CEE sur la protection des données • La France a été le dernier Etat-membre de l’UE à transposer la directive (et modifier la loi de 1978) le 6 août 2004 (loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) • Transposition plus rapide dans les pays qui n’avaient pas de texte sur la protection de la vie privée

  6. Historique (3) • La Loi Informatique et Libertés de 1978 a inspiré plusieurs réglementation relatives à la protection de la vie privée à l’international : • La Convention 108 du Conseil de l’Europe du 28 janvier 1981 • Les principes directeurs sur les données personnelles adoptés par l’assemblée générale des Nations Unies le 14 décembre 1990 • La directive européenne sur la protection des données du 24 octobre 1995 • Loi sur la protection des renseignements personnels au Canada

  7. Protection des Données Personnelles Etendue de la protection des données (1) • L’article 2 al.1er la loi s’applique : • Aux traitements automatisés de données à caractère perso • Traitements non automatisés de données contenues dans un fichier (sf si pour une activité exclusivement perso) Application à tous types de données personnelles, qu’elles fassent l’objet d’un traitement automatisé ou manuel.

  8. Etendue de la protection des données (2) • L’article 2 al.2 de la Loi Informatique et Libertés prévoit que la protection s’applique aux données à caractère personnel, à savoir : • « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». • Il pourra s’agir d’un nom, numéro d’identification, voix, image, empreintes génétiques, adresse IP, numéro de téléphone, etc.

  9. Protection des Données Personnelles Etendue de la protection des données (3) • Sont des traitements de données soumis à la Loi Informatique et Libertés: • Toute opération portant sur de telles données, quel que soit le procédé utilisé, • (notamment) La collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la diffusion, la comparaison, l’interconnexion, la suppression, etc. des données à caractère personnel. • Les traitements de données mis en œuvre exclusivement pour une finalité personnelle ne sont pas couverts par la loi.

  10. Protection des Données Personnelles La CNIL – présentation (1) Chapitre III de la Loi, articles 11 à 22 La CNIL est une autorité administrative indépendante crée par la Loi Informatique et Libertés composée de 17 membres: • Une autorité • Indépendante • Administrative • Formation plénière • Formation contentieuse

  11. La CNIL – rôle (2) • Elle a pour rôle : • Assurer l’application et le respect de la Loi Informatique et Libertés; • D’émettre des avis, délibérations et recommandations sur la base des questions et problèmes pratiques soulevés par le développement de nouveaux types de traitements de données. Ces documents servent à interpréter et compléter la règlementation en matière de protection de données personnelles

  12. Protection des Données Personnelles La CNIL –pouvoirs (3) • pouvoir de contrôle a priori (déclarations, demandes d’autorisation); • Depuis la transposition de la directive (loi 2004), pouvoir de contrôle renforcé : elle peut décider de sa propre initiative, de contrôler, au regard de la réglementation, le respect par toute personne morale des traitements de données mis en œuvre. Pour ce faire, elle peut accéder : • Aux locaux professionnels; • Aux matériels utilisés pour les traitements de données et à tous documents.

  13. La CNIL – (4) • Organe très actif • Site internet: www.cnil.fr • La mission essentielle de la CNIL est de protéger la vie privée et les libertés dans un monde interconnecté. • La CNIL plaide pour l'inscription de la protection des données dans la constitution, au titre des droits fondamentaux des citoyens.

  14. Protection des Données Personnelles Principes applicables à la collecte de données personnelles (1) • Condition de licéité du traitement • Il existe deux principes de base s’appliquant à toute collecte de données à caractère personnel: • Le principe de loyauté • Le principe de proportionnalité

  15. Protection des Données Personnelles Principes applicables à la collecte de données personnelles (2)- Le principe de loyauté - • L’article 6 de la Loi Informatique et Libertés : • les collectes et traitements de données doivent être effectués de manière loyal et licite pour des finalités déterminées, explicites et légitimes; • Seules les données objectives strictement liées à la finalité du traitement peuvent être collectées légalement; • La collecte et le traitement des données sensibles sont strictement règlementés • Les données sensibles sont les données concernant les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance à un syndicat, l’orientation sexuelle

  16. Protection des Données Personnelles Principes applicables à la collecte de données personnelles (3)- Le principe de proportionnalité - • Article 6: un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : • Les données sont collectées et traitées de manière loyale et licite ; • Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (…) ; • Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; • Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées; • Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

  17. Protection des Données Personnelles Principes applicables à la collecte de données personnelles (4) • Toute collecte de données illégale, déloyale ou frauduleuse et toute modification de la finalité du traitement de données est constitutive d’un manquement à la réglementation • La responsabilité civile du responsable du traitement est engagée (art.1382 C. civ) • La responsabilité pénale du responsable du traitement aussi donnant lieu à 5 ans d’emprisonnement et 300.000 € d’amende (art. 226-18 C. pénal) • La Cour de cassation définit la collecte de données illicites dans un arrêt du 3 novembre 1987 : « Caractérise des moyens frauduleux, déloyaux ou illicites, la collecte de données auprès de tiers à l’insu des intéressés et sans déclaration de traitement »

  18. Protection des Données Personnelles Protection des personnes et de leurs données (1) – Accord exprès & préalable • Accord exprès et préalable de la personne concernée par la collecte nécessaire • La Loi Informatique et Liberté ne requérait que la notification préalable de la personne concernée • La directive transposée exige dorénavant le consentement exprès de la personnes concernée pour la collecte de ses données

  19. Protection des personnes et de leurs données (2) –limites au principe du consentement exprès et préalable (article 7 loi 1978): • Lorsque le responsable du traitement doit respecter une obligation légale • Pour sauvegarder la vie de la personne concernée • Lorsque le responsable du traitement exerce une mission de service public • Dans le cadre de l’exécution d’un contrat avec la personne concernée • Lorsque le responsable du traitement remplit un intérêt légitime

  20. Protection des Données Personnelles Protection des personnes et de leurs données (3) – information préalable • Une information préalable doit aussi être fournie à la personne concernée: • L’identification du responsable du traitement; • L’objet du traitement; • L’existence des droits d’accès, de contestation, de correction ou d’opposition à la collecte; • Le caractère obligatoire ou facultatif des réponses et les conséquences du refus; • L’Identification du destinataire des données collectées; • L’existence d’un transfert hors UE le cas échéant.

  21. Protection des personnes et de leurs données (4) – limites de l’obligation d’information • limites de l’obligation d’information : • lorsque les données collectées sont très vite anonymisées, • lorsque les données ne sont pas recueillies directement auprès de la personne. • Il est des cas où l’obligation d'information est exclue : • pour les fichiers de police ou de gendarmerie, • pour les fichiers relatifs à des condamnations pénales, • lorsque l’information de la personne se révèle impossible ou très difficile.

  22. Protection des Données Personnelles Protection des personnes et de leurs données (5) - droit d’accès à ses données personnelles : • Modification et mise à jour des données • Contestation du traitement de données • Opposition à la collecte de données (par rapport aux campagnes de marketing et aux activités de prospection commerciale)

  23. Protection des Données Personnelles Obligations applicables au responsable du traitement de données La Loi Informatique et Libertés définit le responsable d’un traitement comme étant « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens » Le responsable d’un traitement doit respecter les obligations suivantes : • Obligation de déclarer le traitement de données • Déclaration • autorisation • Obligation de sécurité

  24. Protection des Données Personnelles Obligations applicables au responsable du traitement de données • Obligation de déclaration du traitement de données préalablement à sa création • Deux systèmes sont applicables à tout nouveau traitement de données à caractère personnel en fonction de la finalité du traitement et du type de données collectées : • La déclaration du traitement de données • La demande d’autorisation

  25. Obligations applicables au responsable du traitement de données - Déclaration

  26. Protection des Données Personnelles La déclaration « normale » • Tout traitement de données à caractère personnel (sauf dispense), même non informatisé, doit faire l’objet d’une déclaration auprès de la CNIL • Exemples de traitements de données soumis à déclaration préalable: • Traitement dont la finalité est le contrôle de l’activité professionnelle des salariés (vidéosurveillance, utilisation d’Internet et de la messagerie, géolocalisation) • Les traitements liés à l’embauche (bases de données de candidats, CV) • Les fichiers médicaux informatisés • Les fichiers utilisés par les comités d’entreprise • Les traitements transférés hors de l’UE

  27. Protection des Données Personnelles La déclaration « normale » Sanction en cas de manquement: • Responsabilité pénale • Peine d’emprisonnement de 5 ans et/ou d’une amende de 300.000 € • Les sites web en tant que tels sont exemptés de déclaration

  28. Protection des Données Personnelles La déclaration « simplifiée » • La loi prévoit « pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l’informatique et des libertés établit et publie, après avoir reçu, le cas échéant, les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l’obligation de déclaration » • Il s’agit alors d’une déclaration de conformité à une norme simplifiée

  29. Protection des Données Personnelles « La déclaration simplifiée » • Exemples de normes simplifiées publiées par la CNIL : • La norme simplifiée n°72 sur le contrôle d’accès aux locaux professionnels et sur la gestion du temps de travail et des congés • La norme simplifiée n°46 sur les traitements les plus fréquemment mis en œuvre par les services des ressources humaines (gestion du personnel, utilisation des matériels informatiques, organisation du travail, gestion de carrière, formation) • La norme simplifiée n°48 concernant les traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects

  30. Dispense de déclaration • Sont dispensés de déclaration 13 types de traitements ayant fait l’objet d’une décision de la CNIL dont : • Ceux mis en œuvre par les particuliers agissant dans le cadre d'activités exclusivement personnelles • Ceux mis en œuvre par les Eglises, partis politiques, syndicats et organismes ou associations à caractère religieux, politique, philosophique ou syndical pour les fichiers de membres, d’adhérents ou de personnes qui sont en contact régulier avec • Ceux mis en œuvre par les professionnels du domaine artistique pour les traitements de données personnelles utilisés dans le cadre de cette activité (livres, films, TV…) • Les traitements de comptabilité général

  31. Protection des Données Personnelles Le CIL • Suite à la transposition de la directive en droit français, les entreprises peuvent désormais désigner un « correspondant informatique et libertés – CIL » • Le CIL a la charge de : • s’assurer que tous les traitements mis en œuvre par l’entreprise sont conformes à la loi et que le principe de respect de la vie privée est dûment appliqué au sein de l’entreprise • Conserver une liste à jour de tous les traitements internes • Effectuer des formations en interne sur les questions liées à l’informatique et aux libertés • De mener des audits informatique et libertés réguliers • La nomination d’un CIL n’est pas obligatoire • Si un CIL est désigné, sa désignation doit être déclarée à la CNIL et approuvée par celle-ci • L’entreprise reste responsable en cas de violation de la loi • Le CIL peut être un tiers à la société • Les entreprises disposant d’un CIL sont dispensées de l’obligation de déclaration pour la plupart des traitements de données personnelles

  32. Protection des Données Personnelles Obligations applicables au responsable du traitement de données - Autorisation Certains types de fichiers sont soumis à un contrôle renforcé de la part de la CNIL par le biais de son autorisation préalable : • Soit à cause de la catégorie de données collectées (données sensibles) • Soit à cause de la finalité du traitement ; 8 catégories de traitements prévus à l’article 25 de la Loi Informatique et Liberté dont notamment: • Les fichiers de statistiques qui contiennent des données relatives aux origines raciales ou ethniques, etc. sans l’accord exprès de la personne intéressée sont interdits. Les dérogations sont strictement réglementées • Les traitements automatisés concernant les données génétiques, sauf pour les traitements mis en œuvre par des médecins ou des biologistes et qui sont nécessaires dans le cadre de la médecine préventive, du diagnostic, etc. • Les traitements relatifs aux délits, aux condamnations ou aux mesures de sûreté • Les traitements relatifs aux interconnexions de fichiers aux finalités différentes

  33. Protection des Données Personnelles Obligations applicables au responsable du traitement de données – obligation de sécurité • Les personnes traitant des données doit mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour protéger les données contre les risques suivants: • Destruction accidentelle ou illicite des données • Perte accidentelle • Altération des données • Accès ou divulgation non autorisé • Tout autre traitement illicite

  34. Protection des Données Personnelles Obligation de sécurité • Les mesures de sécurité doivent être: • décrites dans le formulaire de déclaration à la CNIL (art. 34 Loi Informatique et Liberté) • Appliquées préalablement à la mise en œuvre du traitement de données • Contrôles sur la fiabilité des équipements et des logiciels utilisés, avec possibilité d’un audit préalable pour tester des problèmes éventuels d’erreurs ou d’omissions, etc. pouvant donner des résultats incorrects avec des conséquences négatives sur les personnes concernées • Evaluation générale de la sécurité et des risques

  35. Protection des Données Personnelles Obligation de sécurité • L’archivage des données • Décision de la CNIL concernant les procédures et les mesures de sécurité applicables à l’archivage des données à caractère personnel • L’obligation de sécurité est applicable aux tiers traitant les données pour le compte d’une entreprise • Tout manquement aux obligations de sécurité peut entraîner la mise en œuvre de la responsabilité pénale : 5 ans d’emprisonnement et/ou 300.000€ d’amende (x5 pour les personnes morales)

  36. Protection des Données Personnelles Obligations applicables au responsable du traitement de données -fin • Autorégulation et Codes de conduite: • Les organisation professionnelles et les associations peuvent développer leur propre système d’autorégulation concernant la prospection et la collecte des données à caractère personnel • Par exemple, les associations marketing suivantes ont développé des Codes de conduite, approuvés par la CNIL : le Syndicat national de la communication directe (SNCD) et l’Union française du marketing direct (UFMD)

  37. Protection des Données Personnelles Protection des données et internet • Règles spécifiques applicables à la protection des données et à internet • Sites web • Cookies • Sollicitations commerciales et spamming • Données de connexion

  38. Protection des Données Personnelles Sites web • Sur certains sites web, il peut être demandé de remplir un questionnaire (ex. sites de e-commerce). Ces questionnaires doivent préciser quelles questions/réponses sont obligatoires pour pouvoir fournir le service ou traiter la commande et lesquelles sont optionnelles • Les fichiers de données personnelles collectées par l’intermédiaire du web sont soumis à toutes les dispositions de la Loi Informatique et Libertés à partir du moment où le site vise le public français (en France) et/ou est exploité par une personne morale de droit français.

  39. Protection des Données Personnelles Cookies • « Un cookie est un enregistrement d'informations par le serveur dans un fichier texte situé sur l'ordinateur client (le vôtre), informations que ce même serveur (et lui seul) peut aller relire et modifier ultérieurement » (déf. CNIL) • Les cookies permettent la collecte de données à l’insu de l’internaute. • Ces données permettent ensuite d’identifier le profil des utilisateurs : fréquence de retour sur le site, type et nombre de pages vues, etc. • Ils sont utilisés à des fins de marketing • L’utilisation de cookies par les sites web est autorisée, sous réserve d’informer les utilisateurs de leur présence sur le site et la possibilité de les refuser • Toute absence de notification est constitutive d’un délit (art. 226-18 du Code pénal)

  40. Protection des Données Personnelles Spamming Le spamming consiste en l’envoi en masse de courriels non-sollicités à un grand nombre de destinataires avec lesquels l’émetteur n’a pas de contacts pré-existants • Les adresses électroniques ont généralement été collectées de manière illicite • La pratique du spamming est différente de la prospection commerciale/sollicitation qui sont des pratiques licites • Les traitements de données dans le but de prospection commerciale sont soumis aux dispositions de la Loi Informatique et Libertés à partir du moment où le public concerné est situé en France • La personne concernée doit donner son consentement libre, spécifique et informé pour la collecte (système de l’opt-in), sauf concernant les messages marketing pour des produits ou services identiques ou similaires à ceux préalablement fournis (système de l’opt-out autorisé)

  41. Protection des Données Personnelles Données de connexion • Jusqu’à récemment, la CNIL recommandait vivement que les données de connexion ne soient conservées que pour la durée de la transmission des données • Un certain nombre d’exceptions ont, par la suite, été admises: les FAI et opérateurs de télécom ont été autorisés à conserver les données de connexion à des fins de facturation et de paiement; également aux fins d’aider les autorités de police et la sécurité nationale • La LCEN du 21 juin 2004 dispose désormais que les FAI et les hébergeurs doivent conserver les données de connexion pendant une période d’un an et divulguer ces données aux autorités/forces de l’ordre à leur demande afin de les aider dans le cadre de leurs enquêtes

  42. Transfert de données à l’international

  43. Protection des Données Personnelles Transferts au sein de l’UE • L’un des objectifs principaux de la directive sur la protection des données de 1995 a été de créer un ensemble de règles relatives à la protection de la vie privée commun à tous les pays membres de l’UE : • Pour établir un système de protection de haut niveau équivalent dans tous les Etat-membres • Pour éliminer les obstacles aux échanges de données nécessaires au bon fonctionnement du marché intérieur • Nécessité d’équilibrer les finalités de libre circulation des données entre les Etats-membres tout en sauvegardant les droits fondamentaux des personnes

  44. Protection des Données Personnelles Transferts au sein de l’UE • Principe : pas de restriction aux transferts de données à caractère personnel vers un autre Etat-membre • Extension aux pays membres de l’EEE (Espace économique européen – Islande, Norvège, Liechtenstein)

  45. Protection des Données Personnelles Transferts en dehors de l’UE, vers un pays présentant un niveau de protection adéquat • Principe : tout transfert de données personnelles hors de l’UE est soumis à la condition que le pays destinataire fournisse un niveau de protection de la vie privée et des droits fondamentaux des personnes (art. 68 Loi Informatique et Libertés) – à savoir, un niveau de protection adéquat

  46. Protection des Données Personnelles Transferts en dehors de l’UE, vers un pays présentant un niveau de protection adéquat • La Commission Européenne est la seule autorité pouvant décider quels pays paraissent présenter un niveau adéquat de protection de la vie privée, compte tenu des critères figurant dans la directive de 1995. • A ce jour, seul un nombre très limité de pays ont été admis comme présentant ce niveau de protection: • L’Argentine, le Canada, Guernesey, L’Ile de Man, la Suisse • Pour les Etats-Unis, seules les sociétés ayant choisi de se conformer aux principes du Safe Harbor sont concernées

  47. Protection des Données Personnelles Transferts en dehors de l’UE, vers un pays ne présentant pas un niveau de protection suffisant • Principe : aucun transfert de données personnelles vers un pays non-membre de l’UE ne présentant pas un niveau de protection adéquat n’est autorisé • Cela inclus les transferts de données intra-groupes, à savoir, les transferts entre les sociétés d’un même groupe mais opérant dans des régions du monde différentes • Sauf si le destinataire s’engage à fournir un niveau de protection de la vie privée suffisant

  48. Pays ne présentant pas un niveau adéquat de protection • Exception • Art. 69 de la loi Informatique et libertés • Consentement de la personne concernée • Transfert nécessaire à l’une des conditions énumérées à l’article 69 de la loi

  49. Protection des Données Personnelles Transferts en dehors de l’UE, vers un pays ne présentant pas un niveau de protection suffisant • Les sociétés peuvent décider individuellement de se conformer aux obligations de fournir un niveau de protection suffisant aux données à caractère personnel transférées vers des pays qui n’offrent pas un niveau de protection adéquat • Trois systèmes ont été développés pour permettre aux entreprises de transférer les données à l’international • Le contrat standard de transfert de données • Les Safe Harbour Principles (Etats-Unis) • Les BindingCorporateRules (BCR)

  50. Protection des Données Personnelles Contrat standard ou Clauses Contractuelles Types • La Commission européenne a développé un contrat standard de transfert de données (publié en 2001 et modifié en 2004). Ce document contient un certain nombre d’obligations à la charge de l’importateur des données : • Mise en œuvre de procédures de sécurité applicables au transfert de données et au traitement • Respect de la finalité du traitement de données • Identification d’un service interne responsable du suivi des demandes de l’exportateur des données et de la CNIL, ainsi que des questions posées par les personnes concernées • L’exportateur des données doit s’assurer que l’importateur est capable de respecter les obligations légales • Les entreprises ne sont pas obligées d’utiliser le contrat standard. Si elles l’utilisent, aucune stipulation contractuelle ne peut être modifiée (principe du « tout ou rien »)

More Related