Perspectives sur le droit des donnees

August, 2010
Thème: droit des données
Octobre 2015

Alcatel-Lucent – Internal
Proprietary – Use pursuant to Company instruction.
Agenda
 Introduction
 Cadre Juridique International et Européen
 Les aspects transfrontaliers des infractions à la vie privée par la surveillance
de masse de la part des agences étatiques
 Conclusion
Droit des NTIC | Octobre 2015

Introduction: Définitions
 Larousse: Donnée
 Ce qui est connu et admis, et qui sert de base, à un raisonnement, à un examen ou à une recherche.
 Données personnelles
 Les "données personnelles" représentent toutes les informations concernant la vie privée,
professionnelle ou publique d'un individu. Il peut s'agir d'un nom, d'une photo, d'une adresse email, de
données bancaires, de commentaires sur les réseaux sociaux, d'informations médicales ou de l'adresse
IP de l'ordinateur de la personne concernée.
 Loi Informatique et Libertés
 « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement
ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui sont
propre à son identité physique, physiologique, psychique, économique, culturelle ou sociale»
 La vie privée
 Un concept relativement récent d’un point de vue aussi bien sociologique que juridique. Formalisée pour
la première fois dans un article de 1890 de Brandeis et Warren dans le Harvard Review « Right to
Privacy »

 Etablir un équilibre entre le droit à la vide privée et le légitime besoin de tiers (entreprises, administrations) de
traiter des informations concernant cette personne.
 Imposer des limites à la surveillance – ex. Google: 20 000 Térabits de données traités / jour
 Etablir une confiance dans le numérique
– 63% des français ne sont pas prêts à sacrifier une partie de leur vie privée pour plus de facilité, notamment
lorsqu'ils utilisent Internet (EMC privacy Index)
– 80 % des Français ne croient pas à la confidentialité de leurs données personnelles sur Internet (Syntec’13)
 Marché des données estimé à + 1 milliard de milliards pour l’Europe
 En France le droit à la vie privée se range parmi les droits de la personnalité supposés inaliénable (qui ne peut
être cédé, tant à titre gratuit qu'onéreux, ni grevé de droits réels)
Introduction: Pourquoi réglementer la protection des données
personnelles?
Identité personnelle
Respect de la vie
privée
Droits à l’image
Droit des Données
Personnelles
Droit de la
personnalité
Figure 1. De l’identité personnelle à l’identité numérique Figure 2. Visualisation des cookies en temps réel lors
de navigation sur internet (CookieViz)
Identité numérique

Introduction: Quelles sont les alternatives à la réglementation?
REGLEMENTATION
AUTOREGULATION
Normes européennes
Loi, Décret, réglement
Normes edictées par la CNIL
Normes Internationales
Contrat intégrant des
obligations légales
Binding corporate
rules
Privacy Enhancing
Technologies
SoftLaw
Privacy by
Design
Corregulation
Labellisation par la CNIL
Avis de conformité délivré par la CNIL
Accountability
« obligation de rendre
des comptes »
Responsabilité
contractuelle
Déontologie
Code de conduite
purement privé
Chartes
Privacy (1)
(1) 4e
Amendement de la Constitution des Etats Unis, « Right to be let alone » Thomas Cooley (1888),
Fig 3. De la règlementation à l’auto-régulation

Agenda
 Introduction
 Cadre Juridique Européen
 Grands principes et évolution du cadre juridique européen
 La loi Informatique et Libertés
 le GDPR
 Conclusion

Grands principes et évolution du droit européen 1950 - 2009
Convention 108
1981
Art 8. « Toute
personne a droit
au respect de sa
vie privée et
familiale, de son
domicile et de sa
correspondance »
1950
Droit d’accès, de
modification et
d’opposition
Convention EU de
sauvegarde des droits
de l’H
et des libertés
fondamentales
Finalité du
traitement
Information et
consentement
Qualité des
données
Sécurité des
données
Limitation de
la durée de
conservation
Directive 95/46
Collectées pour des finalités déterminées
explicite et légitimes; adéquates,
pertinentes et non excessives
1995
Collecte interdite sauf exceptionProtection des
données sensible
Limitation de
l’exportation
Sous-traitant celui-ci doit apporter les
garanties suffisantes
autorisé que si celui-ci assure le niveau
adéquat de protection des données – USA
« Safe Harbor »
Obligation de recueil de consentement
Droits pour la personne concernée
Contrôle et responsabilité:
Autorité de contrôle, des formalités, recours
et des sanctions
Elles peuvent être conservées plus longtemps
si elles sont anynonimisées
Opposition gratuite
Directive 02/58
Sécurité du réseaux:
Informer les
utilisateur en cas de
violation
Prospection
commerciale:
Impose le principe
d’obtention du
consentement
préalable à toute
prospection
automatisée
Conservation des
données de
connexion et de
localisation: entre 6
mois et 2 ans
Directive 09/135
« Paquet Télécom »« Communications
Électroniques »
2002 2009
protection des personnes physiques à l’égard du traitement
des données à caractère personnel et à la libre circulation
des personnes
la protection des personnes à l’égard du traitement
automatisé des données à caractère personnel
Obligation de
notification des
violations de sécurité
Cookies:
n’est autorisé que
si l’utilisateur a
donné sont accord
- Opt-In / Opt-Out

Grands principes et évolution du droit européen (mise à jour Oct 2015)
Législations nationales en matière de droit de données personnelles
Par décision de la Cour de Justice de l’Union Européenne du 06 Octobre 2015 (affaire C-362/14), le
mécanisme d’adéquation " Safe Habor " permettant le transfert de données vers les entreprises
adhérentes aux Etats-Unis a été invalidé.
2013 2015
La CJUE a donné raison à un internaute autrichien, Max Schrems, qui s'opposait au transfert de ses
données récoltées par Facebook vers les Etats-Unis.

La Loi Informatique et Libertés (6 janvier 1978)
TYPE DE TRAITEMENT CONCERNÉS
CHAMP TERRITORIAL
OBLIGATION D’INFORMATION DE LA PERSONNE CONCERNÉE
OBLIGATION DE RECUEIL DU CONSENTEMENT DE LA PERSONNE CONCERNÉE
DROIT D’ACCÈS AUX DONNÉES
DROIT DE RECTIFICATION
DROIT D’OPPOSITION
DISPOSITIONS CONCERNANT LES DONNÉES
INTERDICTION DE TRAITEMENT DE DONNÉES SENSIBLE
RÉUTILISATION DES DONNÉES POUR D’AUTRES TRAITEMENTS
OBLIGATION DE SÉCURISATION: Obligation de moyens et non de résultats
OBLIGATION DE NOTIFICATION DE VIOLATIONS DE SÉCURITÉ DEPUIS 2011
EXPORTATION DE DONNÉES PERSONNELLES HORS UE
• La loi s’applique aux traitements dont le responsable
est soit établi sur le territoire français soit établi hors
UE mais ayant recours à des moyens de traitement
localisés en France.
• Application de la loi française aux services web établis
hors UE
• Google: les serveurs de Google.fr se situe en
Californie et Google France n’étant qu’un
représentant commercial et non le responsable du
traitement, c’est le droit californien qui s’applique
• Pour appliquer la directive 95/46 le G29 estime que
parmi « les moyens de traitement » on peut inclure
les traitement logiciels et notamment les cookies
élaborés sous le contrôle du prestataire de service
mais sur l’ordinateur de l’internaute.
• « s’applique aux traitements automatisés de données
à caractère personnel, ou non automatisés appelés à
figurer dans des fichiers »

Projet de règlement européen sur les données personnelles
ou General Data Protection Regulation GDPR
 Modifie en profondeur l’organisation légale en Europe
 1. Grands principes
 Droit à l’oubli (entre liberté d’expression et devoir de mémoire)
 Principe du minima: a priori les données sont utilisées de manière anonyme
 La portabilité des données : possibilité de retrait des données
 Privacy by Design: Mettre en place des principes de respect de la vie privée dès la conception
 2. Accountability: l’obligation de preuve contre la suppression des formalités (plus de contrôle)
 Un délégué à la protection des données pour s’assurer de la conformité aux lois européennes
 Etudes d’impact des risques
 3. Obligation de notification des failles de sécurité dans les 24hrs
 4. CIL 2.0 : Rôle de conseiller et contrôleur (auditeur)
 5. Amendes entre 1M€ et 100M€ (encore à définir)

Les aspects transfrontaliers des infractions à la vie privée par la
surveillance de masse de la part des agences étatiques
1. Les infractions transfrontalières contre la vie prive à l’échelle européenne
 A) Apports de la Cour Européenne des droits de l’homme (CEDH) et CJUE
 L’ingérence d’un autorité publique dans l’exercice du droit à la vie privée peut être nécessaire
dans une société démocratique dans les cas de sécurité nationale, du bien-être économique du
pays, de la défense de l’ordre public et de la prévention des infractions pénales.
 Des règles claires et détaillées en matière d’interception des conversation téléphonique sont
indispensable cf Affaire Liberty (Ovt 2008): British Irish Rights Watch et le conseil irlandais des
libertés civiles contestaient une disposition du droit britannique par laquelle le MoD avait mis en
place à Caoenhurst une dispositif de contrôle électronique capable d’intercepter 10 000
communications téléphoniques émise depuis Dublin vers Londres
 En Avril 2014 la CJUE invalide de manière intégrale la directive 2006/24/CE sur la conservation des
données à caractère personnel et prohibe ainsi toute surveillance de masse, Affaire Digital Rights
Ireland Ltd & Michael Seitlinger e.
 B) Apports de l’Union Européenne
 TFUE de 2007 Art 16. Toute personne a droit à la protection des données à caractère personnel la
concernant.
 Directive 95/46: Pays tiers autorisés & la « sphère de sécurité » du Safe Harbor

Les aspects transfrontaliers des infractions à la vie privée par la
surveillance de masse de la part des agences étatiques
2. Les infractions transfrontalières contre la vie privée à l’échelle universelle
 A) Pacte International des Droits Civils et Politiques (1966)
 B) ONU
 Rés. de l’AG n°45/95 sur les fichiers de données personnelles informatisés du secteur public et
privé et des org. internationales (14 decembre 1990)
 Dec 2013 L’assemblée générale ONU a adopté une résolution reconnaissant « le droit à la vie privée
à l’ère numérique »
 C) Le droit interne des Etats-Unis
 Initialement la Constitution des Etats Unis ne reconnaissant pas le droit à la vie privée, cette notion
a été par la suite introduite dans le 4eme Amendement.
 1972, Après l’affaire du Watergate une loi contre la surveillance des agences étatiques a été
introduite sous le nom de Privacy Act. Une autre loi Foreign Intelligence Surveillance Act (1978) a
autorisé la collecte de données ne provenant pas du territoire américain.
 Après le 11 Septembre 2001, l’USA Patriot Act a élargi l’extension de collecte de données aux Etats
Unis surtout aux personnes qui n’ont pas la citoyenneté américaine
 En 2008 le Foreign Intelligence Surveillance Act Amendment a ajouté l’autorisation de surveillance
de masse pour les données concernant les pers en dehors des Etats-Unis.

Agenda
 Introduction
 Cadre Juridique Européen
 Grands principes et évolution du cadre juridique européen
 La loi Informatique et Libertés
 A venir: le GDPR
 Conclusion

Conclusions
"We're trying to figure out what the future of search is," Mr. Schmidt acknowledges.
"I mean that in a positive way. We're still happy to be in search, believe me. But
one idea is that more and more searches are done on your behalf without you
needing to type.“
"I actually think most people don't want Google to answer their questions," he
elaborates. "They want Google to tell them what they should be doing next.“
Google and the search for the future - Eric Schmidt, Google's CEO, 14 aout 2010

www.alcatel-lucent.comMerci
Questions & Réponses

Grands principes de la Convention 108 du Conseil de l’Europe (28
janvier 1981)
 Droit d’accès, de modification et d’opposition : Toute personne physique a le droit d’obtenir du « maitre du fichier » les
données le concernant er de les faire le cas échéant effacer, rectifier ou compléter
 Finalité du traitement: Un traitement de données doit avoir une finalité explicite et préalable; les données recueillies ne peuvent
ensuite être utilisée pour une autre finalité
 Information et consentement: Toute personne physique doit être informée que ses données vont faire l’objet d’un traitement
dans une finalité donnée et ce traitement ne peut avoir lieu sans son consentement
 Qualité des données: Les données traitées doivent être exacte compètes et à jour
 Sécurité des données: Des mesures de sécurité appropriées doivent être prises pour empêcher l’altération, la destruction l’accès ou
la divulgation non autorisés
 Limitation de la durée de conservation: les données ne peuvent être conservées que pendant la durée nécessaire de traitement
 Protection des données sensible: le traitement de données (origine raciale, opinions politique, religion, etc) fait l’objet de
mesures particulières
 Limitation de l’exportation: Les données ne peuvent être exportées dans un pays donnant un niveau de protection comparable

La Directive 95/46/CE relative à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation des personnes
Règles concernant les données
 Qualité des données: « traitées loyalement et licitement »; collectées pour des finalités déterminées explicite et légitimes; ;
adéquates, pertinentes et non excessives au regard de ces finalités; exactes et à jour; conservées pendant une durée n’excédant pas
celle nécessaire à la finalité; elles peuvent être conservées plus longtemps si elles sont anynomisées, c’est-à-dire que tout lien entre
une donnée et la personne est éffacée
 Données sensibles: Le traitement de certaines catégories de données (origine raciale, opinions politique, syndicales,
philosophiques, religieux, santé, sexualité) est interdit sauf exception. Le traitement de infractions et condamnations pénales ne peut
être effectué que sous le contrôle de l’autorité publique.
 Obligation de sécurité: Le responsable du traitement doit mettre en œuvre les mesure techniques et organisationnelles appropriées
pour protéger les données personnelles contre la destruction accidentelle ou illicite, l’altération , la diffusion ou l’accès non autorisé.
Lorsque le traitement est confié à un sous-traitant celui-ci doit apporter les garanties suffisantes quand aux mesures de sécurité et
s’engager contractuellement à les mettre en œuvre.
 Exportation de données: l’exportation vers un pays tiers n’est autorisé que si celui-ci assure le niveau adéquat de protection des
données
 Pays autorisés: Suisse, Canada, Argentine, Norvège, Islande, Nouvelle Zélande, Andorre, Liechtenstein ainsi que Jersey, Gernesey, Isle de Man
 Pour les Etats Unis seul les transferts vers des entreprises ayant adhéré au dispositif de « Safe Harbor » sont autorisés

La Directive 95/46/CE relative à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation des personnes
Quels droits pour la personne concernée?
 Obligation de recueil et de consentement: que si la personne concernée a « indubitablement » donné son consentement; si le
traitement est nécessaire à l’intérêt vital de la personne, ou si le traitement est nécessaire à l’exécution d’un contrat signé par la
personne; ou si le traitement répond à une obligation de service public; ou si le traitement est nécessaire à la réalisation de l’intérêt
légitime du responsable du traitement
 Droit à l’information: lorsque sont collectées des données la concernant; une personne doit être informée: de l’identité du
responsable du traitement, de la finalité du traitement ou destinataires des données, du caractère facultatif ou obligatoire, de
l’existence de son droit d’accès et de modification
 Droit d’opposition: toute personne a le droit de s’opposer gratuitement au traitement à des fins de prospection de données la
concernant (ex Spam)
Contrôle et responsabilité
 Instauration d’une autorité de contrôle
 Formalités
 Recours, responsabilité sanctions x

La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (1/6)
Historique
 Fichier SAFARI du Ministère de l’intérieur créer un scandale
 La loi de 1978 a été rédigée dans une optique de contrôle des fichiers centraux, principalement de
l’Etat.
 La directive européenne de 95 apporte un cadre plus large concernant aussi bien
l’administration que le secteur privé.
 La transposition en 2004 modifie la loi sur les points suivants:
 Prise en compte dans l’application de la loi des fichiers manuels, des sons et des images; à
l’exception de la vidéo surveillance pour la sécurité publique
 Renforcement des pouvoir de contrôle a postériori de la CNIL
 Égalité de traitement entre secteur public et privé, sauf pour les domaines de la souveraineté qui
ne relève pas de la compétence de l’Union Européenne
 Distinction entre le transfert de données interne à l’union européen et ceux à destination des Etats
Tiers qui ne devient possible que si l’Etat destinataire assure un niveau de protection adéquat
 Objectif moral

Définitions
 Définit une donnée à caractère personnel
 Traitement des données et fichier
 « constitue un traitement de données à caractère personnel toute opération portant sur de telles
donnés quelque soit le procédé utilisé et notamment la collecte, l’enregistrement, l’organisation,
la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la
communication par transmission, diffusion ou toute autre forme de mise à disposition »
 « Constitue un fichier de données à caractères personnel tout ensemble structuré et stable de
données à caractères personnel accessible selon des critères déterminés »
 Personne concernée par le traitement
 Responsable du traitement vs sous-traitant uniquement soumis à une obligation
contractuelle
 Destinataire des données
 Permet de prouver à la CNIL que seules les personnes ayant un intérêt légitime peuvent accéder
aux données.

Champ d’application de la loi
 Type de traitement concernés
 « La présente loi s’applique aux traitements automatisés de données à caractère personnel, ou non
automatisés appelés à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour
l’exercice d’activité exclusivement personnelles »
– Le répertoire personnel n’est pas à déclarer à la CNIL par ex.
– Le simple fait d’utiliser un ordinateur ne constitue pas un traitement automatisé de données
personnelles
 Champ territorial
 La loi s’applique aux traitements dont le responsable est soit établi sur le territoire français soit
établi hors UE mais ayant recours à des moyens de traitement localisés en France.
 Application de la loi française aux services web établis hors UE
– Google: les serveurs de Google.fr se situe en Californie et Google France n’étant qu’un représentant
commercial et non le responsable du traitement, c’est le droit californien qui s’applique
– Pour appliquer la directive 95/46 le G29 estime que parmi « les moyens de traitement » on peut
inclure les traitement logiciels et notamment les cookies élaborés sous le contrôle du prestataire de
service mais sur l’ordinateur de l’internaute.
– Le G29 estime qu’un moteur de recherche qui vend de la publicité induite par des données à
caractère personnel et en analysant le comportement de l’internaute afin de lui proposer des
bannières publicitaires ciblées est également soumis au droit local.
– Retournement de la jurisprudence: suite à la demande de suppression dans le moteur de recherche
de résultat à deux requête contenant le nom d’une personne et se référant à une vidéo qui se
retrouvait diffusée sans le consentement de la personne (TGI Montpellier 2010)

Obligations prévues par la loi
 Obligation d’information de la personne concernée
 Art.32 « la personne auprès de laquelle sont recueillies des données à caractère personnel la
concernant est informée sauf si elle l’a été au préalable par le responsable du traitement ou son
représentant. »
 Règles pour les cookies
 Cookies: Fichiers permettant de conserver une trace des actions de l’utilisateur du terminal sur
cette application
 Art 32 « Tout abonné ou utilisateur d’un service de communications électroniques doit être informé
de manière claire et complète »
 En pratique pour éviter d’avoir à donner son consentement pour chaque lien ce qui deviendrait
insupoportable pour l’utilisateur, l’accord peut être matérialisé via le paramétrage. C’est donc en
configurant son navigateur que l’utilisateur pourra matérialiser un OPT-IN général
 Obligation de recueil du consentement de la personne concernée
 Art 7 « Un traitement de données à caractère personnel doit avoir reçu le consentement de la
personne concernée ou satisfaire des conditions spécifiques (légal, sauvegarde de la vie, mission de
service pubic, exécution d’un contrat, intérêt légitime poursuivi par le responsable du traitement)

 Droit d’accès aux données
 Toute personne peut demander à un responsable de traitement si des données la concernant sont traitées et
obtenir des informations sur le traitement, ainsi qu’une copie sous forme intelligible des données la concernant et
toute information disponible sur leur origine.
 Droit de rectification
 Toute personne peux exiger que les données la concernant soient rectifiées, complétées ou mise à jour
 Droit d’opposition
 Son exercice n’est possible de façon générale que pour motif légitime.
 Il faut alors justifier de la légitimité de sa demande ce qui entre en conflit avec le droit reconnu du responsable du
traitement de la même loi de se passer du consentement des personnes concernées si cela est nécessaire à la
réalisation de son intérêt légitime
 Dispositions concernant les données
 Sont collectées et traitée de manière loyale et licite
 Sont collectées pour des finalités déterminées explicites et légitimes
 Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées
 Elles sont exacte, complète et si nécessaire mis à jour
 Limitation de la durée de conservation « droit à l’oubli »

 Interdiction de traitement de données sensible
 Qui font apparaître directement ou indirectement les origines raciales, ethniques, les opinions politiques,
philosophiques ou religieuses ou d’appartenance syndicale des personnes ou qui sont relative à la santé ou à la vie
sexuelle de celle-ci
 Exceptions: Etudes statistiques, Recherche
 Figure également celle qui peuvent être traitées que sur autorisation de la CNIL au titre de l’art 25:
– Données comprenant le numéro d’inscription des personnes au répertoire national
d’identification des personnes physiques; « numéro de sécurité sociale »
– Données comportant des appréciations sur les difficultés sociales des personnes
– Données biométriques nécessaire au contrôle des personnes
 Réutilisation des données pour d’autres traitements
 Le principe est qu’on ne réutilise des données collectées dans un but précis, toutefois l’art 36 a prévu qu’il
peut être procédé à un traitement ayant des finalités nouvelles soit
– Avec l’accord de la personne, de la CNIL, ou pour la recherche notamment pour la santé ou
pour le traitement d’intérêt public
 Obligation de sécurisation
 Obligation de moyens et non de résultats
 Obligation de notification de violations de sécurité depuis 2011

Perspectives sur le droit des donnees

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (15)

En vedette

En vedette (11)

Similaire à Perspectives sur le droit des donnees

Similaire à Perspectives sur le droit des donnees (20)

Plus de Edouard DEBERDT

Plus de Edouard DEBERDT (6)

Perspectives sur le droit des donnees