Protection des données personnelles en Russie

1 273 vues

Publié le

Presentation for CCIFR committee (in French)

Publié dans : Business
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 273
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
16
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Protection des données personnelles en Russie

  1. 1. La protection des données personnelles en RussieAnastasiya LemyshAvocat à la CourCMS, Russie9 octobre 2012
  2. 2. Les sujets clés 1. Les fondements juridiques du traitement des données personnelles 2. La notion de « données personnelles » 3. Les données personnelles sensibles 4. Les formes, les principes et la durée du traitement des données personnelles 5. Le transfert transfrontière des données personnelles 6. Le consentement pour le traitement des données personnelles 7. Les obligations à accomplir dans le domaine du traitement des données personnelles 8. La notification sur le traitement des données personnelles 9. La pratique de Roscomnadzor. SanctionsComité PME-PMI (Carrefour des compétences) | 9 octobre 2012 2
  3. 3. Les fondements juridiques du traitement des données personnelles 1/2 – au plan international • Lignes directrices de lOCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel (1980) • Convention pour la protection des personnes à légard du traitement automatisé des données à caractère personnel (1981) • Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à légard du traitement des données à caractère personnel et à la libre circulation de ces données • Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive vie privée et communications électroniques)Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  4. 4. Les fondements juridiques du traitement des données personnelles 2/2 – législation russe • Constitution de la Fédération de Russie • La loi fédérale du 27.07.2006 No.152-FZ «Sur les données personnelles» (rédaction du 25.07.2011) • Le code du travail de la Fédération de Russie du 30.12.2001 • Le code de la Fédération de Russie des infractions administratives du 30.12.2001 • La loi fédérale du 27.07.2006 No 149 – FZ «Sur l’information, les technologies informatiques et la protection de l’information» • Les décrets du Gouvernement de la Fédération de Russie • Les ordres de Minsvyaz, Roscomnadzor et FSTECComité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  5. 5. La notion de « données personnelles » Les données personnelles (DPs) – toute information qui concerne directement ou indirectement une personne physique identifiée ou identifiable («personne concernée») (art. 3 de la Loi sur les DPs) Texte, information graphique, Peut être identifiée par des moyens biométrique, photographique, raisonnablement accessibles acoustique, digitale … concernant Toute information Personne physique identifiée ou identifiableComité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  6. 6. Les données personnelles sensibles Les données sensibles Origine raciale et Convictions ethnique religieuses ou philosophiques Santé Opinions Vie sexuelle politiques Le traitement de ces données n’est autorisé que dans les cas expressément prévus par la loiComité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  7. 7. Les formes, les principes et la durée de traitement des données personnelles 1/4 Traitement des DPs Toute opération ou ensemble d’opérations Effectuée à laide de Effectuée sans procédés automatisés procédés automatisésComité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  8. 8. Les formes, les principes et la durée du traitement des données personnelles 2/4 systéma- collecte enregistrement accumulation stockage tisation destruction extraction Traitement blocage des DPs utilisation précision déperson élimination transfert nalisation mise à mise à jour modification distribution accès dispositionComité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  9. 9. Les formes, les principes et la durée du traitement des données personnelles 3/4 1. Le traitement des DPs doit être effectué conformément aux principes légaux et d’équité 2. La forme et les moyens de traitement des DPs doivent correspondre aux buts pour lesquels ce traitement est réalisé 3. Seules les DPs qui correspondent aux finalités recherchées peuvent être traitées 4. La mise à jour et l’exactitude des DPs doivent être assurées dans le cadre du traitement des DPs 5. La durée de traitement des DPs doit correspondre aux buts pour lesquels ce traitement est réaliséComité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  10. 10. Les formes, les principes et la durée du traitement des données personnelles 4/4 Finalité du traitement des DPs Durée de traitement des DPs Loi ContratComité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  11. 11. Le transfert transfrontière des DPs 1/3 Le transfert transfrontière des DPs pays étranger personne personne physique étrangère morale étrangère organe étatique d’un pays étrangerComité PME-PMI (Carrefour des compétences) | 9 octobre 2012 11
  12. 12. Le transfert transfrontière des DPs 2/3: les pays qui assurent la protection suffisante des DPs Les pays reconnus ‘adéquats’ Les pays inclus dans la liste Les signataires de la approuvée par Roscomnadzor Convention de Strasbourg 1981 (liste approuvée (44 pays) le 02.10.2012 )Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 12
  13. 13. Le transfert transfrontière des DPs 3/3 La forme de consentement à obtenir d’une personne physique dépend du pays où les DPs sont transférées Pays Forme de consentement Signataire de la Convention de Strasbourg de 1981 Simple (Convention du Conseil de l’Europe) Non signataire de la Convention de Strasbourg mais Simple qui assure une protection suffisante des DPs et est inclus dans la liste approuvée par Roscomnadzor des pays reconnus comme ‘adéquat’ Autre pays Forme écrite, certifiée par la signature authentique ou électroniqueComité PME-PMI (Carrefour des compétences) | 9 octobre 2012 13
  14. 14. Consentement pour le traitement des données personnelles 1/5 Traitement des DPs Avec consentement de Sans consentement de la personne concernée la personne concernée Forme du consentement Seulement dans les forme écrite Toute forme, permettant cas prévus par la loi (DPs sensibles, de confirmer l’obtention DPs biométriques, du consentement flux transfrontières des DPs dans les états non fiables)Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 14
  15. 15. Consentement pour le traitement des données personnelles 2/5 Le consentement de la personne concernée n’est pas obligatoire:  Dans le cadre d’une action en justice;  Lors de la conclusion et/ou de l’exécution d’un contrat dont la personne concernée est partie, bénéficiaire, garant;  En matière de protection de la vie, de la santé ou d’autres intérêts d’une importance vitale, s’il n’est pas possible d’obtenir le consentement de la personne concernée;  Dans le cadre d’études statistiques ou autres (sous condition de dépersonnalisation obligatoire des DPs);  Dans l’hypothèse ou l’accès aux DPs est accordé pas la personne concernée (traitement des DPs publiques);  Dans les autres cas, expressément prévus pas la Loi sur les données personnelles.Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 15
  16. 16. Consentement pour le traitement des données personnelles 3/5 : forme écrite (qualifiée) 1. Nom, prénom, adresse de la personne concernée (ou de son représentant) ainsi que les détails de son passeport; 2. Nom et adresse de la personne responsable du traitement des DPs; 3. Nom et adresse de la personne traitant les DPs à la demande du responsable; 4. Les finalités du traitement des DPs; 5. La liste des DPs qui seront traitées; 6. Les formes de traitement des DPs et les méthodes de traitement; 7. La durée pour laquelle le consentement est octroyé et la procédure de retrait de ce consentement; 8. La signature de la personne concernée (authentique ou électronique).Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 16
  17. 17. Consentement pour le traitement des données personnelles 4/5: consentement à distance (Internet) Les exemples d’usage: o «coche» sous le texte du consentement pour le traitement des DPs o bouton «lu et approuvé» sous le texte du consentement etc. Les cas d’usage: o obtention d’un consentement ‘simple’ (dans l’hypothèse où il n’est pas nécessaire d’obtenir un consentement écrit ‘qualifié’) Les conditions d’usage:  Les caractéristiques techniques du site Internet utilisé pour obtenir le consentement permettent d’identifier la personne concernée (enregistrement sur le site, envoie d’un e-mail de confirmation etc.).  Les technologies utilisées (serveur) permettent de fixer et de confirmer que le consentement a été octroyé (liaison sur IP-adresse, logging dans l’espace personnelle etc.).Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 17
  18. 18. Consentement pour le traitement des données personnelles 5/5: consentement à distance (téléphone) Les examples d’usage: o le consentement orale pour le traitement des DPs, octroyé dans le cadre d’une conversation avec un opérateur de call-center o un avertissement d’un operateur sur un éventuel enregistrement de la conversation téléphonique Les cas d’usage : o obtention d’un consentement ‘simple’ Les conditions d’usage:  La connexion téléphonique et la conversation permet identifier la personne concernée  Les technologies utilisées permettent fixer et confirmer le fait que le consentement a été octroyé (e.g. l’enregistrement de la conversation).Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 18
  19. 19. Les obligations à accomplir dans le domaine du traitement des DPs  Nomination au sein de la société d’une personne responsable de l’organisation du traitement des DPs;  Développement d’une politique et des actes normatifs locaux sur le traitement et la protection des DPs;  Mise en œuvre des mesures juridiques, organisationnelles et techniques pour la protection des DPs;  Contrôles internes et (ou) audits externes du traitement des DPs;  Evaluation des dommages susceptibles d’être apportés aux personnes concernées en cas de violation des règles de traitement des DPs;  Information des employés;  Autres obligations.Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 19
  20. 20. Notification sur le traitement des DPs Forme de notification Sous forme papier Sous forme électronique 255 426 sociétés de traitement Roscomnadzor enregistrées 30 jours Date ultime de Introduction dans le registre des informations: dépôt de la notification 1) mentionnées dans la notification 01.01.2013 2) sur la date de la notificationComité PME-PMI (Carrefour des compétences) | 9 octobre 2012 20
  21. 21. La pratique de Roscomnadzor 1/3 : fondements juridiques des contrôles Responsables du Responsables du traitement des DPs , traitement des DPs , enregistrés non inclus dans le registre CONTROLES Réguliers Hors plan • expiration du terme d’exécution d’une prescription, • plaintes des personnes concernées, Le plan annuel • ordre du responsable de Roscomnadzor, • violation des droits et intérêts des citoyens par le responsable du traitement des DPsComité PME-PMI (Carrefour des compétences) | 9 octobre 2012 21
  22. 22. La pratique de Roscomnadzor 2/3 : les contrôles Sont vérifiés dans le cadre d’un contrôle: 1. La notification sur le traitement des DPs; 2. Les documents liés à des infractions ayant fait l’objet de plaintes par personnes concernées; 3. Les documents qui prouvent que les infractions on été éliminées; 4. Les consentements écrits des personnes concernées; 5. Les documents prouvant la conformité aux normes établies par la loi du traitement des DPs sensibles; 6. Les documents prouvant la destruction des DPs dès que les finalités pour lesquelles elles ont été traitées sont atteintes; 7. Les règlements locaux établissant la procédure de traitement des DPS.Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 22
  23. 23. La pratique de Roscomnadzor 3/3: les chiffres L’activité de contrôle de Roscomnadzor 746 contrôles (dont 446 contrôles planifiés et 300 contrôles hors plan) ont été effectués durant les 6 premiers mois de 2012. 721 infractions dans le domaine du traitement des DPs identifiées.Les sanctions: 762 prescriptions ont été émises; 2897 protocoles sur les infractions ont été dressés; 2392 décisions rendues par les tribunaux (dont 2376 maintenues en vigueur)Au titre de ces infractions: des amendes d’un montant 4,3 mln RUB ont été infligées surlesquelles 1,9 mln. RUB a déjà été perçuComité PME-PMI (Carrefour des compétences) | 9 octobre 2012 23
  24. 24. Sanctions 1/3: la législation actuelle Code des infractions administratives (CoAP): • Article 13.11 – Violation de la procédure prévue par la loi pour la collecte, stockage, usage ou distribution des informations sur les citoyens (les données personnelles) Sanction:  avertissement  amende: personnes physiques: de 300 à 500 RUB; responsables au sein d’une personne morale: de 500 à 1000 RUB; personne morales: de 5 000 à 10 000 RUB. NB: Le paiement d’une amende ne dispense de l’obligation d’éliminer les infractions commises en conformité des prescriptions de RoscomnadzorComité PME-PMI (Carrefour des compétences) | 9 octobre 2012 24
  25. 25. Sanctions 2/3: le projet de modifications du CoAP La classification des infractions et des sanctions proposées:  non-exécution des obligations sur la protection des données personnelles: pour les personnes morales - amende de 20 000 à 30 000 RUB;  traitement des données personnelles sans le consentement de la personne concernée: pour les personnes physiques – amende de 30 000 à 50 000 RUB, et dans certains cas une amende équivalente à 1,5-2% des revenus, avec un minimum de 400 000 à 700 000 RUB (en fonction des circonstances de l’infraction),  traitement illégal des donnés personnelles sensibles: pour les personnes morales - amende équivalente à 1,5-2% des revenus, avec un minimum de 400 000 à 700 000 RUB (en fonction des circonstances de l’infraction),  violation des conditions pour le transfert transfrontière des données personnelles: pour les personnes morales - amende de 20 000 à 30 000 RUB, et dans certains cas, une amende équivalente à 1,5-2 des revenus, avec un minimum de 500 000 à 700 000 RUB (en fonction des circonstances de l’infraction).Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 25
  26. 26. Sanctions 3/3: les défauts du projet de CoAP o Les sanctions prévues pour la commission de l’infraction et non pour le dommage subit (à la différence de la législation européenne); o Aucun moyen de procédure pour le règlement des différends directement entre la personne en charge du traitement des DPs et la personne concernée (y compris la réparation des dommages); o Disproportion entre les consequences de l’infraction et l’importance de la sanction; o Description insuffisante des caractéristiques des infractions.Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 26
  27. 27. A faire dans un premier temps  développer la politique de traitement des DPs et la mettre en ligne;  développer la documentation interne sur le traitement des DPs;  nommer une personne responsable pour le traitement des DPs;  déterminer la liste des personnes ayant accès aux DPs;  notifier Roscomnadzor (avant le 01.01.2013);  introduire des dispositions sur le traitement des DPs dans les contrats avec les partenaires;  formaliser les relations avec les sous-traitants dans le domaine du traitement des DPs.Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 27
  28. 28. Merci pour votre attention! Anastasiya Lemysh Avocat à la Cour CMS, Russie T: +7 495 786 3076 E: Anastasiya.Lemysh@cmslegal.ru CMS, Russie 11, bvd. Gogolevsky 119019 Moscou Т +7 495 786 4000 F +7 495 786 4001 www.cmslegal.ruComité PME-PMI (Carrefour des compétences) | 9 octobre 2012 28

×