2. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Agenda
Introduction
Cadre Juridique International et Européen
Les aspects transfrontaliers des infractions à la vie privée par la surveillance
de masse de la part des agences étatiques
Conclusion
Droit des NTIC | Octobre 2015
3. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Introduction: Définitions
Larousse: Donnée
Ce qui est connu et admis, et qui sert de base, à un raisonnement, à un examen ou à une recherche.
Données personnelles
Les "données personnelles" représentent toutes les informations concernant la vie privée,
professionnelle ou publique d'un individu. Il peut s'agir d'un nom, d'une photo, d'une adresse email, de
données bancaires, de commentaires sur les réseaux sociaux, d'informations médicales ou de l'adresse
IP de l'ordinateur de la personne concernée.
Loi Informatique et Libertés
« toute information relative à une personne physique identifiée ou qui peut être identifiée, directement
ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui sont
propre à son identité physique, physiologique, psychique, économique, culturelle ou sociale»
La vie privée
Un concept relativement récent d’un point de vue aussi bien sociologique que juridique. Formalisée pour
la première fois dans un article de 1890 de Brandeis et Warren dans le Harvard Review « Right to
Privacy »
Droit des NTIC | Octobre 2015
4. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Etablir un équilibre entre le droit à la vide privée et le légitime besoin de tiers (entreprises, administrations) de
traiter des informations concernant cette personne.
Imposer des limites à la surveillance – ex. Google: 20 000 Térabits de données traités / jour
Etablir une confiance dans le numérique
– 63% des français ne sont pas prêts à sacrifier une partie de leur vie privée pour plus de facilité, notamment
lorsqu'ils utilisent Internet (EMC privacy Index)
– 80 % des Français ne croient pas à la confidentialité de leurs données personnelles sur Internet (Syntec’13)
Marché des données estimé à + 1 milliard de milliards pour l’Europe
En France le droit à la vie privée se range parmi les droits de la personnalité supposés inaliénable (qui ne peut
être cédé, tant à titre gratuit qu'onéreux, ni grevé de droits réels)
Introduction: Pourquoi réglementer la protection des données
personnelles?
Droit des NTIC | Octobre 2015
Identité personnelle
Respect de la vie
privée
Droits à l’image
Droit des Données
Personnelles
Droit de la
personnalité
Figure 1. De l’identité personnelle à l’identité numérique Figure 2. Visualisation des cookies en temps réel lors
de navigation sur internet (CookieViz)
Identité numérique
5. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Introduction: Quelles sont les alternatives à la réglementation?
Droit des NTIC | Octobre 2015
REGLEMENTATION
AUTOREGULATION
Normes européennes
Loi, Décret, réglement
Normes edictées par la CNIL
Normes Internationales
Contrat intégrant des
obligations légales
Binding corporate
rules
Privacy Enhancing
Technologies
SoftLaw
Privacy by
Design
Corregulation
Labellisation par la CNIL
Avis de conformité délivré par la CNIL
Accountability
« obligation de rendre
des comptes »
Responsabilité
contractuelle
Déontologie
Code de conduite
purement privé
Chartes
Privacy (1)
(1) 4e
Amendement de la Constitution des Etats Unis, « Right to be let alone » Thomas Cooley (1888),
Fig 3. De la règlementation à l’auto-régulation
6. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Agenda
Introduction
Cadre Juridique Européen
Grands principes et évolution du cadre juridique européen
La loi Informatique et Libertés
le GDPR
Les aspects transfrontaliers des infractions à la vie privée par la surveillance
de masse de la part des agences étatiques
Conclusion
Droit des NTIC | Octobre 2015
7. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Grands principes et évolution du droit européen 1950 - 2009
Convention 108
1981
Art 8. « Toute
personne a droit
au respect de sa
vie privée et
familiale, de son
domicile et de sa
correspondance »
1950
Droit d’accès, de
modification et
d’opposition
Convention EU de
sauvegarde des droits
de l’H
et des libertés
fondamentales
Finalité du
traitement
Information et
consentement
Qualité des
données
Sécurité des
données
Limitation de
la durée de
conservation
Directive 95/46
Collectées pour des finalités déterminées
explicite et légitimes; adéquates,
pertinentes et non excessives
1995
Collecte interdite sauf exceptionProtection des
données sensible
Limitation de
l’exportation
Sous-traitant celui-ci doit apporter les
garanties suffisantes
autorisé que si celui-ci assure le niveau
adéquat de protection des données – USA
« Safe Harbor »
Obligation de recueil de consentement
Droits pour la personne concernée
Contrôle et responsabilité:
Autorité de contrôle, des formalités, recours
et des sanctions
Elles peuvent être conservées plus longtemps
si elles sont anynonimisées
Opposition gratuite
Directive 02/58
Sécurité du réseaux:
Informer les
utilisateur en cas de
violation
Prospection
commerciale:
Impose le principe
d’obtention du
consentement
préalable à toute
prospection
automatisée
Conservation des
données de
connexion et de
localisation: entre 6
mois et 2 ans
Directive 09/135
« Paquet Télécom »« Communications
Électroniques »
2002 2009
protection des personnes physiques à l’égard du traitement
des données à caractère personnel et à la libre circulation
des personnes
la protection des personnes à l’égard du traitement
automatisé des données à caractère personnel
Obligation de
notification des
violations de sécurité
Cookies:
n’est autorisé que
si l’utilisateur a
donné sont accord
- Opt-In / Opt-Out
Droit des NTIC | Octobre 2015
8. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Grands principes et évolution du droit européen (mise à jour Oct 2015)
Législations nationales en matière de droit de données personnelles
Par décision de la Cour de Justice de l’Union Européenne du 06 Octobre 2015 (affaire C-362/14), le
mécanisme d’adéquation " Safe Habor " permettant le transfert de données vers les entreprises
adhérentes aux Etats-Unis a été invalidé.
2013 2015
Droit des NTIC | Octobre 2015
La CJUE a donné raison à un internaute autrichien, Max Schrems, qui s'opposait au transfert de ses
données récoltées par Facebook vers les Etats-Unis.
9. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
La Loi Informatique et Libertés (6 janvier 1978)
TYPE DE TRAITEMENT CONCERNÉS
CHAMP TERRITORIAL
OBLIGATION D’INFORMATION DE LA PERSONNE CONCERNÉE
OBLIGATION DE RECUEIL DU CONSENTEMENT DE LA PERSONNE CONCERNÉE
DROIT D’ACCÈS AUX DONNÉES
DROIT DE RECTIFICATION
DROIT D’OPPOSITION
DISPOSITIONS CONCERNANT LES DONNÉES
INTERDICTION DE TRAITEMENT DE DONNÉES SENSIBLE
RÉUTILISATION DES DONNÉES POUR D’AUTRES TRAITEMENTS
OBLIGATION DE SÉCURISATION: Obligation de moyens et non de résultats
OBLIGATION DE NOTIFICATION DE VIOLATIONS DE SÉCURITÉ DEPUIS 2011
EXPORTATION DE DONNÉES PERSONNELLES HORS UE
• La loi s’applique aux traitements dont le responsable
est soit établi sur le territoire français soit établi hors
UE mais ayant recours à des moyens de traitement
localisés en France.
• Application de la loi française aux services web établis
hors UE
• Google: les serveurs de Google.fr se situe en
Californie et Google France n’étant qu’un
représentant commercial et non le responsable du
traitement, c’est le droit californien qui s’applique
• Pour appliquer la directive 95/46 le G29 estime que
parmi « les moyens de traitement » on peut inclure
les traitement logiciels et notamment les cookies
élaborés sous le contrôle du prestataire de service
mais sur l’ordinateur de l’internaute.
• « s’applique aux traitements automatisés de données
à caractère personnel, ou non automatisés appelés à
figurer dans des fichiers »
Droit des NTIC | Octobre 2015
10. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Projet de règlement européen sur les données personnelles
ou General Data Protection Regulation GDPR
Modifie en profondeur l’organisation légale en Europe
1. Grands principes
Droit à l’oubli (entre liberté d’expression et devoir de mémoire)
Principe du minima: a priori les données sont utilisées de manière anonyme
La portabilité des données : possibilité de retrait des données
Privacy by Design: Mettre en place des principes de respect de la vie privée dès la conception
2. Accountability: l’obligation de preuve contre la suppression des formalités (plus de contrôle)
Un délégué à la protection des données pour s’assurer de la conformité aux lois européennes
Etudes d’impact des risques
3. Obligation de notification des failles de sécurité dans les 24hrs
4. CIL 2.0 : Rôle de conseiller et contrôleur (auditeur)
5. Amendes entre 1M€ et 100M€ (encore à définir)
Droit des NTIC | Octobre 2015
11. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Agenda
Introduction
Cadre Juridique Européen
Grands principes et évolution du cadre juridique européen
La loi Informatique et Libertés
le GDPR
Les aspects transfrontaliers des infractions à la vie privée par la surveillance
de masse de la part des agences étatiques
Conclusion
Droit des NTIC | Octobre 2015
12. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Les aspects transfrontaliers des infractions à la vie privée par la
surveillance de masse de la part des agences étatiques
1. Les infractions transfrontalières contre la vie prive à l’échelle européenne
A) Apports de la Cour Européenne des droits de l’homme (CEDH) et CJUE
L’ingérence d’un autorité publique dans l’exercice du droit à la vie privée peut être nécessaire
dans une société démocratique dans les cas de sécurité nationale, du bien-être économique du
pays, de la défense de l’ordre public et de la prévention des infractions pénales.
Des règles claires et détaillées en matière d’interception des conversation téléphonique sont
indispensable cf Affaire Liberty (Ovt 2008): British Irish Rights Watch et le conseil irlandais des
libertés civiles contestaient une disposition du droit britannique par laquelle le MoD avait mis en
place à Caoenhurst une dispositif de contrôle électronique capable d’intercepter 10 000
communications téléphoniques émise depuis Dublin vers Londres
En Avril 2014 la CJUE invalide de manière intégrale la directive 2006/24/CE sur la conservation des
données à caractère personnel et prohibe ainsi toute surveillance de masse, Affaire Digital Rights
Ireland Ltd & Michael Seitlinger e.
B) Apports de l’Union Européenne
TFUE de 2007 Art 16. Toute personne a droit à la protection des données à caractère personnel la
concernant.
Directive 95/46: Pays tiers autorisés & la « sphère de sécurité » du Safe Harbor
13. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Les aspects transfrontaliers des infractions à la vie privée par la
surveillance de masse de la part des agences étatiques
2. Les infractions transfrontalières contre la vie privée à l’échelle universelle
A) Pacte International des Droits Civils et Politiques (1966)
B) ONU
Rés. de l’AG n°45/95 sur les fichiers de données personnelles informatisés du secteur public et
privé et des org. internationales (14 decembre 1990)
Dec 2013 L’assemblée générale ONU a adopté une résolution reconnaissant « le droit à la vie privée
à l’ère numérique »
C) Le droit interne des Etats-Unis
Initialement la Constitution des Etats Unis ne reconnaissant pas le droit à la vie privée, cette notion
a été par la suite introduite dans le 4eme Amendement.
1972, Après l’affaire du Watergate une loi contre la surveillance des agences étatiques a été
introduite sous le nom de Privacy Act. Une autre loi Foreign Intelligence Surveillance Act (1978) a
autorisé la collecte de données ne provenant pas du territoire américain.
Après le 11 Septembre 2001, l’USA Patriot Act a élargi l’extension de collecte de données aux Etats
Unis surtout aux personnes qui n’ont pas la citoyenneté américaine
En 2008 le Foreign Intelligence Surveillance Act Amendment a ajouté l’autorisation de surveillance
de masse pour les données concernant les pers en dehors des Etats-Unis.
14. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Agenda
Introduction
Cadre Juridique Européen
Grands principes et évolution du cadre juridique européen
La loi Informatique et Libertés
A venir: le GDPR
Les aspects transfrontaliers des infractions à la vie privée par la surveillance
de masse de la part des agences étatiques
Conclusion
Droit des NTIC | Octobre 2015
15. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Conclusions
"We're trying to figure out what the future of search is," Mr. Schmidt acknowledges.
"I mean that in a positive way. We're still happy to be in search, believe me. But
one idea is that more and more searches are done on your behalf without you
needing to type.“
"I actually think most people don't want Google to answer their questions," he
elaborates. "They want Google to tell them what they should be doing next.“
Droit des NTIC | Octobre 2015
Google and the search for the future - Eric Schmidt, Google's CEO, 14 aout 2010
17. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Grands principes de la Convention 108 du Conseil de l’Europe (28
janvier 1981)
Droit d’accès, de modification et d’opposition : Toute personne physique a le droit d’obtenir du « maitre du fichier » les
données le concernant er de les faire le cas échéant effacer, rectifier ou compléter
Finalité du traitement: Un traitement de données doit avoir une finalité explicite et préalable; les données recueillies ne peuvent
ensuite être utilisée pour une autre finalité
Information et consentement: Toute personne physique doit être informée que ses données vont faire l’objet d’un traitement
dans une finalité donnée et ce traitement ne peut avoir lieu sans son consentement
Qualité des données: Les données traitées doivent être exacte compètes et à jour
Sécurité des données: Des mesures de sécurité appropriées doivent être prises pour empêcher l’altération, la destruction l’accès ou
la divulgation non autorisés
Limitation de la durée de conservation: les données ne peuvent être conservées que pendant la durée nécessaire de traitement
Protection des données sensible: le traitement de données (origine raciale, opinions politique, religion, etc) fait l’objet de
mesures particulières
Limitation de l’exportation: Les données ne peuvent être exportées dans un pays donnant un niveau de protection comparable
18. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
La Directive 95/46/CE relative à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation des personnes
Règles concernant les données
Qualité des données: « traitées loyalement et licitement »; collectées pour des finalités déterminées explicite et légitimes; ;
adéquates, pertinentes et non excessives au regard de ces finalités; exactes et à jour; conservées pendant une durée n’excédant pas
celle nécessaire à la finalité; elles peuvent être conservées plus longtemps si elles sont anynomisées, c’est-à-dire que tout lien entre
une donnée et la personne est éffacée
Données sensibles: Le traitement de certaines catégories de données (origine raciale, opinions politique, syndicales,
philosophiques, religieux, santé, sexualité) est interdit sauf exception. Le traitement de infractions et condamnations pénales ne peut
être effectué que sous le contrôle de l’autorité publique.
Obligation de sécurité: Le responsable du traitement doit mettre en œuvre les mesure techniques et organisationnelles appropriées
pour protéger les données personnelles contre la destruction accidentelle ou illicite, l’altération , la diffusion ou l’accès non autorisé.
Lorsque le traitement est confié à un sous-traitant celui-ci doit apporter les garanties suffisantes quand aux mesures de sécurité et
s’engager contractuellement à les mettre en œuvre.
Exportation de données: l’exportation vers un pays tiers n’est autorisé que si celui-ci assure le niveau adéquat de protection des
données
Pays autorisés: Suisse, Canada, Argentine, Norvège, Islande, Nouvelle Zélande, Andorre, Liechtenstein ainsi que Jersey, Gernesey, Isle de Man
Pour les Etats Unis seul les transferts vers des entreprises ayant adhéré au dispositif de « Safe Harbor » sont autorisés
19. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
La Directive 95/46/CE relative à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation des personnes
Quels droits pour la personne concernée?
Obligation de recueil et de consentement: que si la personne concernée a « indubitablement » donné son consentement; si le
traitement est nécessaire à l’intérêt vital de la personne, ou si le traitement est nécessaire à l’exécution d’un contrat signé par la
personne; ou si le traitement répond à une obligation de service public; ou si le traitement est nécessaire à la réalisation de l’intérêt
légitime du responsable du traitement
Droit à l’information: lorsque sont collectées des données la concernant; une personne doit être informée: de l’identité du
responsable du traitement, de la finalité du traitement ou destinataires des données, du caractère facultatif ou obligatoire, de
l’existence de son droit d’accès et de modification
Droit d’opposition: toute personne a le droit de s’opposer gratuitement au traitement à des fins de prospection de données la
concernant (ex Spam)
Contrôle et responsabilité
Instauration d’une autorité de contrôle
Formalités
Recours, responsabilité sanctions x
20. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (1/6)
Historique
Fichier SAFARI du Ministère de l’intérieur créer un scandale
La loi de 1978 a été rédigée dans une optique de contrôle des fichiers centraux, principalement de
l’Etat.
La directive européenne de 95 apporte un cadre plus large concernant aussi bien
l’administration que le secteur privé.
La transposition en 2004 modifie la loi sur les points suivants:
Prise en compte dans l’application de la loi des fichiers manuels, des sons et des images; à
l’exception de la vidéo surveillance pour la sécurité publique
Renforcement des pouvoir de contrôle a postériori de la CNIL
Égalité de traitement entre secteur public et privé, sauf pour les domaines de la souveraineté qui
ne relève pas de la compétence de l’Union Européenne
Distinction entre le transfert de données interne à l’union européen et ceux à destination des Etats
Tiers qui ne devient possible que si l’Etat destinataire assure un niveau de protection adéquat
Objectif moral
21. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (2/6)
Définitions
Définit une donnée à caractère personnel
Traitement des données et fichier
« constitue un traitement de données à caractère personnel toute opération portant sur de telles
donnés quelque soit le procédé utilisé et notamment la collecte, l’enregistrement, l’organisation,
la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la
communication par transmission, diffusion ou toute autre forme de mise à disposition »
« Constitue un fichier de données à caractères personnel tout ensemble structuré et stable de
données à caractères personnel accessible selon des critères déterminés »
Personne concernée par le traitement
Responsable du traitement vs sous-traitant uniquement soumis à une obligation
contractuelle
Destinataire des données
Permet de prouver à la CNIL que seules les personnes ayant un intérêt légitime peuvent accéder
aux données.
22. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (3/6)
Champ d’application de la loi
Type de traitement concernés
« La présente loi s’applique aux traitements automatisés de données à caractère personnel, ou non
automatisés appelés à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour
l’exercice d’activité exclusivement personnelles »
– Le répertoire personnel n’est pas à déclarer à la CNIL par ex.
– Le simple fait d’utiliser un ordinateur ne constitue pas un traitement automatisé de données
personnelles
Champ territorial
La loi s’applique aux traitements dont le responsable est soit établi sur le territoire français soit
établi hors UE mais ayant recours à des moyens de traitement localisés en France.
Application de la loi française aux services web établis hors UE
– Google: les serveurs de Google.fr se situe en Californie et Google France n’étant qu’un représentant
commercial et non le responsable du traitement, c’est le droit californien qui s’applique
– Pour appliquer la directive 95/46 le G29 estime que parmi « les moyens de traitement » on peut
inclure les traitement logiciels et notamment les cookies élaborés sous le contrôle du prestataire de
service mais sur l’ordinateur de l’internaute.
– Le G29 estime qu’un moteur de recherche qui vend de la publicité induite par des données à
caractère personnel et en analysant le comportement de l’internaute afin de lui proposer des
bannières publicitaires ciblées est également soumis au droit local.
– Retournement de la jurisprudence: suite à la demande de suppression dans le moteur de recherche
de résultat à deux requête contenant le nom d’une personne et se référant à une vidéo qui se
retrouvait diffusée sans le consentement de la personne (TGI Montpellier 2010)
23. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (4/6)
Obligations prévues par la loi
Obligation d’information de la personne concernée
Art.32 « la personne auprès de laquelle sont recueillies des données à caractère personnel la
concernant est informée sauf si elle l’a été au préalable par le responsable du traitement ou son
représentant. »
Règles pour les cookies
Cookies: Fichiers permettant de conserver une trace des actions de l’utilisateur du terminal sur
cette application
Art 32 « Tout abonné ou utilisateur d’un service de communications électroniques doit être informé
de manière claire et complète »
En pratique pour éviter d’avoir à donner son consentement pour chaque lien ce qui deviendrait
insupoportable pour l’utilisateur, l’accord peut être matérialisé via le paramétrage. C’est donc en
configurant son navigateur que l’utilisateur pourra matérialiser un OPT-IN général
Obligation de recueil du consentement de la personne concernée
Art 7 « Un traitement de données à caractère personnel doit avoir reçu le consentement de la
personne concernée ou satisfaire des conditions spécifiques (légal, sauvegarde de la vie, mission de
service pubic, exécution d’un contrat, intérêt légitime poursuivi par le responsable du traitement)
24. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (5/6)
Obligations prévues par la loi
Droit d’accès aux données
Toute personne peut demander à un responsable de traitement si des données la concernant sont traitées et
obtenir des informations sur le traitement, ainsi qu’une copie sous forme intelligible des données la concernant et
toute information disponible sur leur origine.
Droit de rectification
Toute personne peux exiger que les données la concernant soient rectifiées, complétées ou mise à jour
Droit d’opposition
Son exercice n’est possible de façon générale que pour motif légitime.
Il faut alors justifier de la légitimité de sa demande ce qui entre en conflit avec le droit reconnu du responsable du
traitement de la même loi de se passer du consentement des personnes concernées si cela est nécessaire à la
réalisation de son intérêt légitime
Dispositions concernant les données
Sont collectées et traitée de manière loyale et licite
Sont collectées pour des finalités déterminées explicites et légitimes
Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées
Elles sont exacte, complète et si nécessaire mis à jour
Limitation de la durée de conservation « droit à l’oubli »
25. Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (6/6)
Obligations prévues par la loi
Interdiction de traitement de données sensible
Qui font apparaître directement ou indirectement les origines raciales, ethniques, les opinions politiques,
philosophiques ou religieuses ou d’appartenance syndicale des personnes ou qui sont relative à la santé ou à la vie
sexuelle de celle-ci
Exceptions: Etudes statistiques, Recherche
Figure également celle qui peuvent être traitées que sur autorisation de la CNIL au titre de l’art 25:
– Données comprenant le numéro d’inscription des personnes au répertoire national
d’identification des personnes physiques; « numéro de sécurité sociale »
– Données comportant des appréciations sur les difficultés sociales des personnes
– Données biométriques nécessaire au contrôle des personnes
Réutilisation des données pour d’autres traitements
Le principe est qu’on ne réutilise des données collectées dans un but précis, toutefois l’art 36 a prévu qu’il
peut être procédé à un traitement ayant des finalités nouvelles soit
– Avec l’accord de la personne, de la CNIL, ou pour la recherche notamment pour la santé ou
pour le traitement d’intérêt public
Obligation de sécurisation
Obligation de moyens et non de résultats
Obligation de notification de violations de sécurité depuis 2011