1 / 74

Vie privée et entreprise

Etienne WERY – Cabinet ULYS Avocat aux barreaux de Paris et Bruxelles Chargé d’enseignement à Paris I Sorbonne etienne.wery@ulys.net. Vie privée et entreprise. « Vous qui arrivez ici, laissez votre vie privée au porte-manteaux … ». La ligne de partage « socio-économique » est floue.

zona
Télécharger la présentation

Vie privée et entreprise

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Etienne WERY – Cabinet ULYS Avocat aux barreaux de Paris et Bruxelles Chargé d’enseignement à Paris I Sorbonne etienne.wery@ulys.net Vie privée et entreprise « Vous qui arrivez ici, laissez votre vie privée au porte-manteaux … »

  2. La ligne de partage « socio-économique » est floue • Évolution des valeurs • Évolution du droit • Télétravail, travail à distance, travail à domicile • Mobiles & mobilité • Messagerie • Flux tendu • Contraintes • La société « nomade »

  3. La ligne de partage « juridique » est floue • Droit à la vie privée • Droit à l’image • Droits de la personnalité • Droit au respect des données à caractère personnel

  4. Une réponse juridique ancienne mais disparate • Convention européenne des droits de l’homme (art. 8) • La Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (1981) • Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite “Informatique et Libertés ») • La directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l ’égard du traitement des données à caractère personnel et à la libre circulation de ces données • Directive 2002/58concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques • L. 120-2 Code du travail : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.” • Loi n° 2004-801 du 6 août 2004 modifiant la loi de 1978

  5. Loi française 06/01/78 Deuxième génération de législations Entrée en vigueur 1978 1981 1984-1992 1995-1998 2002 2004 Loi française modifiée Convention 108 du Conseil de l’Europe 28/01/81 Directive CE 24/10/95 Directive 2002/58

  6. L’apport de Strasbourg Affaire Niemitz/Allemagne (23/11/1992) : « Le respect de la vie privée doit aussi englober, dans une certaine mesure, le droit pour l'individu de nouer et développer des relations avec ses semblables. Il paraît n'y avoir aucune raison de principe de considérer cette manière de comprendre la notion de « vie privée » comme excluant les activités professionnelles ou commerciales : c'est dans leur travail que la majorité des gens ont beaucoup, voire le maximum d'occasions de resserrer leurs liens avec le monde extérieur ».

  7. Un arrêt reçu 5/5 en France Arrêt “Nikon” (Cass., 2/10/2001) : “Vu l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, l'article 9 du Code civil, l'article 9 du nouveau Code de procédure civile et l'article L. 120-2 du Code du travail ; Attendu que le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; (…)”

  8. Le lien de subordination L’autorité Le respect de directives de l’employeur Le respect de la propriété de l’employeur Le droit à la vie privée Y compris sur le lieu du travail La recherche d’équilibre

  9. Etienne WERY – Cabinet ULYS Avocat aux barreaux de Paris et Bruxelles Chargé d’enseignement à Paris I Sorbonne etienne.wery@ulys.net La loi Informatique et Libertés :à la recherche de l’équilibre

  10. Plan • Le droit à la vie privée sur le lieu du travail • Principes et notion de base de la loi • Principe de finalité, de conformité des données et de licéité du traitement • Protection accrue de certaines données • Les droits des personnes concernées • Les obligations du responsable du traitement

  11. Première partie : Le droit à la vie privée sur le lieu du travail (renvoi)

  12. Deuxième partie : Principes et notions de base de la loi

  13. 1. Principe de base de la loi « I&L » Équilibre entre : • Le droit des « ficheurs » de traiter les données personnelles • Le droit des « fichés » de contrôler ce traitement

  14. 2. Notions de base Toute information Donnée à caractère personnel (art. 2 I&L) Sur une personne physique Identifiée ou identifiable

  15. « toute information » • Exemples : • Information écrite ou chiffrée • Information contenue dans une image, une bande son • Une empreinte digitale • Toute information, peu importe la forme

  16. … identifiée … • Informations relatives à une personne physique identifiée • Donc la loi ne s’applique pas aux personnes morales (sauf Italie, Luxembourg, Autriche et Suisse!) • La loi s’applique néanmoins aux fichiers B to B s’ils contiennent des informations sur des personnes physiques (personnel, administrateurs, directeurs etc.)

  17. … ou identifiable Article 2 : • Est réputée identifiable une personne : « qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » • Pour déterminer si une personne est identifiable : « il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne  »

  18. « Traitement de données » Collecte Enregistrement, organisation, modification, consultation, utilisation, transmission, diffusion, Interconnexion Traitement de données Destruction

  19. Automatisés 3 conditions : Un traitement Automatisé Effectué sur des données Non automatisés 4 conditions Un traitement Non automatisé Effectué sur des données Destinées à un fichier Traitements

  20. Critère : celui qui détermine les finalités et moyens. Personne physique ou morale, association de fait ou administration. Il peut y avoir plusieurs responsables si détermination conjointe des finalités et moyens. Difficulté pratique : Qui détermine les finalités et moyens au sein d’un groupe d’entreprises (une entité juridique décide pour les autres ou décision provenant de plusieurs entités)? Notion de « responsable du traitement »

  21. C’est celui qui traite les données pour le compte du responsable Doit être de « qualité » Par exemple : Le prestataire informatique Le secrétariat social Le gestionnaire marketing des clients Notion de « sous-traitant »

  22. Champ d’application de la loi Exclusions totale partielles Traitements effectués à des fins de sécurité publique Traitements liés à des activités exclusivement personnelles (art. 2) Traitements effectués à des fins de journalisme ou d’expression littéraire et artistique

  23. Application territoriale • Le responsable est établi sur le territoire français Etabli ? « Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi » • Le responsable sans être établi sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne. Notion de « moyen de traitement ». Cookies ? Formulaire ? Collecte ? Le lieu d’exercice effectif et réel d’une activité au moyen d’une installation stable

  24. Troisième partie : Principes de finalité et de licéité du traitement ; Principe de conformité des données

  25. Principe de licéité (art. 6) • Principe de légitimité: • Finalité déterminée (précise) et explicite (pas secrète) • Finalité légitime : le but ne peut induire une atteinte disproportionnée aux intérêts des personnes • Principe de conformité : • Utilisation des données en conformité avec la finalité légitime déclarée • Données adéquates, pertinentes et non excessives par rapport à la finalité déclarée

  26. Finalité légitimite (art. 7) 1) Consentement de la personne concernée • Libre • Éclairé • Spécifique • forme libre 2) Nécessaire au contrat ou à la négociation d’un contrat

  27. Finalité légitimite (art. 7) 3) Nécessaire au respect d’obligations légales (ex : congés de maternité, etc.) 4) Nécessaire sauvegarde de l’intérêt vital (ex : santé) 5) Mission d’intérêt public/autorité publique (ex : police) 6) Intérêt légitime du responsable du traitement sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés de la personne concernée

  28. Texte français La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée Texte européen Le traitement est est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée La balance des intérêts

  29. Compatibilité des finalités • Une fois annoncée, la finalité doit être respectée • Les données ne peuvent être utilisées de manière incompatible avec la finalité annoncée

  30. Exemples d’incompatibilité • Utilisation à des fins commerciales des données collectées en vue de la réalisation d’un annuaire téléphonique • Utilisation des photos d’un badge d’identification pour la réalisation d’une brochure de présentation de l’entreprise • Utilisation du fichier clientèle à des fins de prospection marketing tout à fait différente

  31. Quid en cas d’incompatibilité? 2 théories: Si la nouvelle finalité est incompatible, il y a un nouveau traitement qui doit satisfaire à l’ensemble des conditions de la loi pour être admissible Aucune finalité incompatible n’est admissible sans le consentement de la personne concernée

  32. Données adéquates, pertinentes et non excessives par rapport au but recherché Il faut examiner au cas par cas quelles données sont vraiment nécessaires pour réaliser l’objectif poursuivi. Durée de conservation des données limitée. La durée de conservation ne peut excéder celle nécessaire à la réalisation de la finalité. La conformité (art. 6)

  33. Quatrième partie :Protection accrue de certaines données

  34. 1. Données particulières • Données « sensibles » : révèlent l’origine raciale ou ethnique, les opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données relatives à la santé, données liées à la vie sexuelle. • Données judiciaires : relatives à des suspicions, poursuites, condamnations pénales ou administratives

  35. Données sensibles • Principe : interdiction de traiter les données • Exception : sauf si : • consentement exprès • données rendues publiques par la personne concernée • associations à finalité politique, religieuse,... et pas de communication à des tiers • constatation, exercice ou défense d’un droit en justice • données anonymisées à bref délai, sous surveillance de la CNIL • aux fins de médecine préventive, de diagnostic médicaux, de l’administration de soins, et le traitement est effectué sous la surveillance d’un professionnel des soins de santé • L’obligation légale (p.e. droit du travail) est-elle implicite ?

  36. Données judiciaires • Principe : traitement réservé à : • aux autorités policières/judiciaires • auxiliaires de justice • … et aux personnes morales (L. 3211 et 331-1 CPI)

  37. Cinquième partie: Les droits des personnes concernées

  38. 1. Droit d’être informé De quoi? • Au moins : identité resp. du traitement, finalités, caractère obligatoire ou facultatif des réponses et conséquences du refus, destinataire des données, • Et de ses droits au terme de la loi : droit de s’opposer au traitement à fins de « direct marketing », existence droit d’accès et rectification, etc.

  39. Exception : Impossible ou efforts disproportionnés : il faut justifier et indiquer les motifs dans la déclaration ; idéalement il faudra informer dès le premier contact avec la personne concernée Quand ? Lors de la collecte, si informations collectées auprès de la personne concernée Lors de l’enregistrement ou de la communication Droit d’être informé

  40. Droit d’être informé • Exemples : • Insertion d’une clause type dans un questionnaire, courrier, sur un site web • Dans une relation contractuelle : insertion de l’information dans le contrat ou dans les conditions générales • Information orale par téléphone • Note interne aux employés de l’entreprise • Via des formulaires (! Art. 32 !)

  41. 2. Droit d’accès • Quoi ? • Confirmation que des données sont ou non traitées • Données contenues à son sujet • Origine • Connaissance de la logique du traitement • Information sur les recours • Forme ? • Justifier de son identité (p.e. courrier daté et signé avec une photocopie de la carte d’identité)

  42. 3. Droit de rectification • Quand ? Si les données sont : • Inexactes • Incomplètes • Équivoques • Périmées • Dont le traitement est interdit • Que faire ? Selon le cas, exiger que les données soient : • Rectifiées • Complétées • Mises à jour • Verrouillées • Effacées

  43. 4. Droit d’opposition • Sur demande datée et signée, droit de s’opposer : • A tout traitement, mais seulement en justifiant de raisons sérieuses et légitimes • Aux traitement à fins « direct marketing », sans aucune justification

  44. Sixième partie :Les obligations du responsable du traitement

  45. 1. Déclaration du traitement • Auprès de la CNIL (www.cnil.fr) • Ce n’est pas une procédure d’autorisation : c’est une obligation purement administrative de déclaration. Mais, certains traitement sons soumis un régime d’autorisation (données sensibles et judiciaires notamment, et les traitements de l’Etat) • Accusé de réception sans délai • Procédure simplifiée pour certaines catégories de traitement désignées par la CNIL / Dispense de déclarations pour certains traitements fréquents en entreprise (voir les listes de la CNIL)

  46. 2. Sécurité et confidentialité • Mesures techniques et organisationnelles requises en tenant compte : • de l’état de la technique, • de la nature des données à protéger • des risques présentés par le traitement • Pour préserver la sécurité des données, dont : • Empêcher qu’elles soient déformées/endommagées • Que des tiers y aient accès Prévention contre les risques externes Prévention contre les risques internes

  47. Sécurité et confidentialité • Choix du sous-traitant et garanties contractuelles • Choix d’un sous-traitant qui offre des garanties suffisantes quant à la sécurité • Contrat doit fixer responsabilité du sous-traitant, indiquer que le sous-traitant ne peut agir que sur instructions du responsable et comporter les indications incombant au sous-traitant • Le responsable du traitement est toujours … le coupable

  48. Etienne WERY – Cabinet ULYS Avocat aux barreaux de Paris et Bruxelles Chargé d’enseignement à Paris I Sorbonne etienne.wery@ulys.net La cybersurveillance des travailleurs :Mise en œuvre

  49. Plan • Quelques dispositions phares du Code du travail • La jurisprudence de la CNIL • Les grands arrêts des cours d’appel et de cassation • Les constats d’huissier sur l’internet

  50. Première partie : Quelques dispositions phares du Code du travail

More Related