Claire BERNIER
La réglementation des données
utilisateurs
La loi du 6 janvier 1978 institue la CNIL, autorité administrative indépendante, et pose les grands
principes s’appliquant...
 Fichiers : tout ensemble structuré et stable de
données à caractère personnel accessibles selon des
critères déterminés
...
 toute information relative à une personne physique
 identifiée ou susceptible de l’être, directement ou indirectement
...
5
Qu’est-ce qu’un responsable de traitement sujet à la
loi Informatique et Libertés ?
 L’autorité, l’organisme, le servic...
Les traitements de données à caractère personnel « font l’objet d’une
déclaration auprès de la CNIL »
 Les déclarations o...
Comment mettre en œuvre la loi « informatique et libertés » dans la vie des
affaires ?
Collecte des données : loyale et li...
8
Règles de sécurité des données
Obligations de sécurité et de confidentialité
« Le responsable du traitement est tenu de ...
Quelles questions se poser avant la création d’un fichier ?
 Identifier les traitements, leur finalité, la durée de conse...
Contrôle de la mise en œuvre des traitements par la CNIL
A – Instruction des plaintes
Procédure : 1. recueil d’observation...
11
Quelles sont les sanctions du non respect de la loi informatique et libertés ?
Des sanctions graduelles
Formalités,
don...
La notifications des violations de données personnelles : une nouvelle mission
 Transposition en droit français d’une dir...
Le transfert de données
Hors UE
 Le principe
Pas de transfert si l’État n’assure pas un niveau de protection suffisant.
«...
Les recommandations du G29 sur les applications mobiles
Dans un avis publié le 14 mars 2013, le groupe des CNIL européenne...
15
Contacts
Claire BERNIER
Avocat Associé
LD : 01 79 97 92 79
Fax : 01 79 97 97 69
cbernier@altanalaw.com
Prochain SlideShare
Chargement dans…5
×

Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des données utilisateurs

662 vues

Publié le

Capital Games organise une conférence le mercredi 22 mai, de 9h à 17h au Centre de Conférences de Microsoft, à Issy-les-Moulineaux. Elle permettra aux professionnels du jeu vidéo de monter en compétences sur les nouvelles méthodes de production de jeux connectés, parmi lesquelles l'analyse de données.
Présentation du cabinet Altana sur la Réglementation des données.

0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
662
Sur SlideShare
0
Issues des intégrations
0
Intégrations
8
Actions
Partages
0
Téléchargements
9
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des données utilisateurs

  1. 1. Claire BERNIER La réglementation des données utilisateurs
  2. 2. La loi du 6 janvier 1978 institue la CNIL, autorité administrative indépendante, et pose les grands principes s’appliquant à l’informatique et aux fichiers afin de veiller à ce qu’ils soient au service du citoyen et ne portent atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. La loi du 6 août 2004 : une refonte de la loi de 1978  les grands principes restent inchangés (L. 6 janvier 1978)  un renforcement des droits des personnes  un allègement des formalités déclaratives : o augmentation du nombre de normes simplifiées, formulaires pour les déclarations normales allégées o suppression des formalités de déclaration par la mise en place d’un correspondant à la protection des données au sein des entreprises  un renforcement du contrôle de la CNIL pour certains traitements (autorisation / autorisation unique)  de nouveaux pouvoirs coercitifs et de sanction d’une politique d’information en 1978 à une politique de contrôle et de sanction en 2004. 2 Préliminaire
  3. 3.  Fichiers : tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés  Traitement : toute opération de collecte, enregistrement, organisation, conservation, adaptation ou modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement, interconnexion, verrouillage, effacement, destruction  Concerne les fichiers automatisés et manuels 3 Qu’est-ce qu’un fichier / traitement de données ?
  4. 4.  toute information relative à une personne physique  identifiée ou susceptible de l’être, directement ou indirectement  données virtuelles (profil -avatar- lié au compte réel)  par référence à un numéro d’identification (ex : numéro de sécurité sociale, numéro de téléphone) ou un ou plusieurs éléments qui leur sont propres (ex : biométrie génétique)  le cas particulier des données dites « sensibles » (origines sociales ou ethniques, opinions politiques, philosophiques ou religieuses ou appartenance syndicale des personnes, relatives à la santé ou à la vie sexuelle) : interdiction de les collecter ou de les traiter (article 8), sauf exceptions (consentement, intérêt public)  le cas particulier des données d’infractions, de condamnation, de mesure de sûreté : interdiction de les collecter ou de les traiter sauf exceptions (juridictions, autorisations) Encadrer la traçabilité et protéger la vie privée 4 Qu’est-ce que des données à caractère personnel ?
  5. 5. 5 Qu’est-ce qu’un responsable de traitement sujet à la loi Informatique et Libertés ?  L’autorité, l’organisme, le service qui détermine les finalités du traitement et qui donne les moyens nécessaires à sa mise en œuvre  Établi sur le territoire français (installation stable, quelle que soit sa forme juridique, filiale, succursale) ou  Recours à des moyens de traitement situés sur le territoire français (à l’exclusion de traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un État membre de la Communauté européenne)
  6. 6. Les traitements de données à caractère personnel « font l’objet d’une déclaration auprès de la CNIL »  Les déclarations ordinaires  Les déclarations simplifiées (55 normes simplifiées)  Les demandes d’autorisations  Les autorisations uniques (26 autorisations uniques)  Les demandes d’avis sur les fichiers sensibles du secteur public (une surveillance de la CNIL) Délai : la CNIL dispose d’un délai de 2 mois éventuellement renouvelable une fois, pour rendre son autorisation. A l’expiration du délai, la demande d’autorisation est réputée rejetée si la CNIL ne s’est pas prononcée dans l’intervalle. En 2012 : 48 833 déclarations simplifiées de fichiers traitées par la CNIL – 316 autorisations données 6 Comment déclarer un traitement de données à caractère personnel ?
  7. 7. Comment mettre en œuvre la loi « informatique et libertés » dans la vie des affaires ? Collecte des données : loyale et licite (Cass. 14 mars 2006) pour une finalité précise  Proportionnalité et pertinence des données (données adéquates et non excessives) et mise à jour si nécessaire à la finalité (données exactes et complètes) Ex: si l’application développée porte sur un jeu de type « quizz », les numéros de téléphones du carnet d’adresse du propriétaire de Smartphone n’ont pas à être collectés  Obligation de déclaration préalable auprès de la CNIL Mise en œuvre du traitement  Consentement de la personne (ou respect d’une obligation légale ou sauvegarde de la vie de la personne concernée) ou exécution d’une mission de service public ou exécution soit d’un contrat soit de mesures précontractuelles ou réalisation de l’intérêt légitime  Destinataires identifiés expressément  Conservation limitée des données  Sécurité des données  Respect des droits des personnes (droit d’information, d’accès, de modification et d’opposition) 7
  8. 8. 8 Règles de sécurité des données Obligations de sécurité et de confidentialité « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (article 34 loi Informatique et libertés) De nombreuses règles sont à respecter pour que les données soit en sécurité :  politique de mot de passe rigoureuse  Identifier précisément qui peut avoir accès aux fichiers  mise en place d’une procédure de création et de suppression des comptes utilisateurs (but : éviter l’accès aux données d’une personne qui ne serait plus dans le service concerné par les traitements)  Sécuriser les postes de travail : verrouillage automatique, verrouillage manuel systématique des employés  Sécuriser le réseau local contre les attaques extérieures  Sécuriser l’accès physique aux locaux  Anticiper le risque de perte ou de divulgation des données  Mettre en place une politique de sécurité des systèmes informatiques, accessible aux salariés  Mettre en place une politique d’archivage électronique  Sensibiliser les utilisateurs aux risques informatiques concernant les données personnelles  Veiller à la confidentialité des donnés vis-à-vis des prestataires et sous traitants NB: les autorités de protection des données personnelles privilégient l’intégration de la protection de la vie privée directement dans la conception et le fonctionnement des systèmes (Privacy by Design)
  9. 9. Quelles questions se poser avant la création d’un fichier ?  Identifier les traitements, leur finalité, la durée de conservation des données  Compléter le formulaire standard de déclaration CNIL  Anticiper, autant que faire se peut, les futures « nouvelles » finalités et les évolutions techniques ou technologiques  Faire valider les informations contenues dans le formulaire (i) par les opérationnels en charge du traitement/fichier, (ii) par le service informatique et (iii) par le service juridique ou le conseil (avocat)  Effectuer la déclaration auprès de la CNIL (ou la faire exécuter par la voie d’un Conseil)  Conserver une copie de toutes les déclarations et les classer/archiver dans un seul endroit (classeur, etc.). Une solution pratique : les scanner et les classer dans un fichier numérique  Régulièrement, s’assurer de la mise à jour des déclarations  Ne pas hésiter à solliciter les conseils et l’assistance du Conseil habituel de la société en la matière. 9 Méthodologie de la création d’un fichier
  10. 10. Contrôle de la mise en œuvre des traitements par la CNIL A – Instruction des plaintes Procédure : 1. recueil d’observations du responsable 2. phase contradictoire 3. transmission aux services de contrôle (4 sections) 4. réponse avec les procédures de modification proposées en cas de faute ou d’erreur Plainte en ligne depuis le 14 juin 2010 accessible via cnil.fr En 2012 : 6017 plaintes reçues (chiffre le plus élevé jamais enregistré par la CNIL). Intérêt de plus en plus marqué des personnes pour la protection de leurs données et de la sensibilité de cette question à l'ère du numérique(44% des plaintes ont été reçues via cnil.fr en 2012). B – Contrôles sur place  Accès de 6h à 21h aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement (information préalable du Procureur territorialement compétent mais pas du responsable du traitement)  Obligation de collaboration à la charge du responsable de traitement. En cas d’opposition du responsable des lieux : possibilité d’obtenir une autorisation du président du TGI territorialement compétent par voie d’ordonnance sur requête (non contradictoire)  Communication, copie, « saisie » sur place de tous documents, accès aux programmes informatiques et aux données  Assistance d’experts 10
  11. 11. 11 Quelles sont les sanctions du non respect de la loi informatique et libertés ? Des sanctions graduelles Formalités, données sensibles, droits des personnes, flux transfrontières, données interdites, vie privée
  12. 12. La notifications des violations de données personnelles : une nouvelle mission  Transposition en droit français d’une directive européenne : nouvel article 34 Bis de la loi « Informatique et Libertés » du 6 janvier 1978 transposé en droit français par l’ordonnance du 24 août 2011 (Décret d’application n°2012-436 du 30 mars 2012)  Obligation pour les fournisseurs de services de communications électroniques (les opérateurs devant être déclarés auprès de l’ARCEP) [dans le cadre de son activité de fourniture de services de communications électroniques ouverts au public] de notifier les violations de données à caractère personnel aux autorités nationales compétentes, et dans certains cas, aux personnes concernées. ]  Notification à la CNIL o Quand ? Dans tous les cas de « violation de données personnelles » quel que soit leur degré de gravité (data security breach), c’est-à-dire « toute violation de sécurité entrainant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, ou l’accès non autorisé à des données personnelles ». La notification est effectuée sans délai. La CNIL dispose de deux mois pour se prononcer o Quoi ? Le responsable de traitement doit notifier à la CNIL, par lettre recommandée avec accusé de réception :  la nature et les conséquences de la violation,  les mesures déjà prises ou proposées pour remédier à la violation,  l’identification et les coordonnées des personnes auprès desquelles des informations supplémentaires peuvent être obtenues,  si possible, une estimation du nombre de personnes susceptibles d’être concernées par la violation.  Notification aux personnes concernées en cas de risque d’atteinte aux données à caractère personnel ou à la vie privée o Quand? Dans tous les cas où la violation peut porter « atteinte aux données à caractère personnel ou à la vie privée » de l’abonné ou de tout autre personne. La notification est effectuée sans délai, ou lorsqu’elle est imposée par la CNIL (injonction de la CNIL), dans un délai fixe qui ne peut excéder 1 mois. o Quoi ? Le responsable de traitement doit notifier aux personnes concernées, par tout moyen permettant d’apporter la preuve de l’accomplissement de cette formalité: (i) la nature de la violation, (ii) l’identification et les coordonnées des personnes auprès desquelles des informations supplémentaires peuvent être obtenues, (iii) les mesures recommandées pour atténuer les conséquences négatives de la violation.  Réflexion actuelle sur l’extension de l’obligation à tous les secteurs (considérant 59 de la Directive 2009/136/CE ; article 31 projet de Règlement sur la protection des données personnelles; article 14 proposition de Directive sur la sécurité des réseaux et de l’information); Projet de Directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union du 7 février 2013  L’article 226-17-1 Code Pénal sanctionne le défaut de notification par 5 ans d'emprisonnement et de 300 000 € d'amende 12
  13. 13. Le transfert de données Hors UE  Le principe Pas de transfert si l’État n’assure pas un niveau de protection suffisant. «Pays équivalent»,« Pays adéquat », « Pays non adéquat »  Les exceptions : o l’existence de clauses contractuelles ou de règles internes reconnues par la CNIL o interprétation stricte des exceptions de l’article 69 (consentement exprès, exécution d’un contrat, sauvegarde de la vie de la personne…) Quid du Cloud ? Vers un pays non reconnu comme adéquat  Plusieurs possibilités s’offrent à l’entreprise :  Les BCR (règles internes d’entreprises)  Les clauses contractuelles types  Les systèmes régionaux (exemple des Safe harbor)  La standardisation : les normes ISO 13
  14. 14. Les recommandations du G29 sur les applications mobiles Dans un avis publié le 14 mars 2013, le groupe des CNIL européennes (G29) a formulé des recommandations à l'égard des 4 grandes catégories d'acteurs impliqués dans l'écosystème des Smartphones :  les développeurs d'applications,  les fournisseurs de système d'exploitation et les fabricants de terminaux mobiles,  les magasins d'applications  les tiers (comme les régies publicitaires ou les opérateurs de télécommunications) Ces recommandations portent en particulier sur :  La nécessaire limitation des données traitées dans le cadre de l'utilisation de Smartphones : minimisation des données collectées (seules les données nécessaires au fonctionnement de l'application doivent être recueillies)  L'impératif de transparence à l'égard des utilisateurs : pour ce faire, de véritables privacy policies doivent être élaborées par les développeurs d'application, des standards (en particulier de sécurité et de règles d'accès aux données) et des règles simples d'utilisation doivent être proposés  L'amélioration de la maîtrise des informations par les utilisateurs : leur consentement exprès doit être recueilli avant tout téléchargement d'une application, de même qu'avant toute modification substantielle de ses conditions de mise en œuvre  L'attention réservée à certaines informations : la collecte de données " sensibles ", financières ou permettant d'établir le profil social d'une personne devra donner lieu à une réflexion approfondie sur le respect des droits fondamentaux de la personne concernée et à une information spécifique La CNIL va s'attacher, en concertation avec les acteurs concernés, à rendre ces recommandations opérationnelles et effectives. 14
  15. 15. 15 Contacts Claire BERNIER Avocat Associé LD : 01 79 97 92 79 Fax : 01 79 97 97 69 cbernier@altanalaw.com

×