Présentation RGPD règlement européen sur la protection des données personnelles
Protection des données personnelles en Russie
1. La protection des données
personnelles en Russie
Anastasiya Lemysh
Avocat à la Cour
CMS, Russie
9 octobre 2012
2. Les sujets clés
1. Les fondements juridiques du traitement des données personnelles
2. La notion de « données personnelles »
3. Les données personnelles sensibles
4. Les formes, les principes et la durée du traitement des données
personnelles
5. Le transfert transfrontière des données personnelles
6. Le consentement pour le traitement des données personnelles
7. Les obligations à accomplir dans le domaine du traitement des données
personnelles
8. La notification sur le traitement des données personnelles
9. La pratique de Roscomnadzor. Sanctions
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 2
3. Les fondements juridiques du traitement des
données personnelles 1/2 – au plan international
• Lignes directrices de l'OCDE sur la protection de la vie privée et les
flux transfrontières de données de caractère personnel (1980)
• Convention pour la protection des personnes à l'égard du traitement
automatisé des données à caractère personnel (1981)
• Directive 95/46/CE du Parlement européen et du Conseil du 24
octobre 1995 relative à la protection des personnes physiques à
l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données
• Directive 2002/58/CE du Parlement européen et du Conseil du 12
juillet 2002 concernant le traitement des données à caractère
personnel et la protection de la vie privée dans le secteur des
communications électroniques (Directive vie privée et
communications électroniques)
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
4. Les fondements juridiques du traitement des
données personnelles 2/2 – législation russe
• Constitution de la Fédération de Russie
• La loi fédérale du 27.07.2006 No.152-FZ «Sur les données
personnelles» (rédaction du 25.07.2011)
• Le code du travail de la Fédération de Russie du 30.12.2001
• Le code de la Fédération de Russie des infractions administratives
du 30.12.2001
• La loi fédérale du 27.07.2006 No 149 – FZ «Sur l’information, les
technologies informatiques et la protection de l’information»
• Les décrets du Gouvernement de la Fédération de Russie
• Les ordres de Minsvyaz, Roscomnadzor et FSTEC
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
5. La notion de « données personnelles »
Les données personnelles (DPs) – toute information qui concerne
directement ou indirectement une personne physique identifiée ou
identifiable («personne concernée») (art. 3 de la Loi sur les DPs)
Texte, information graphique, Peut être identifiée par des moyens
biométrique, photographique, raisonnablement accessibles
acoustique, digitale …
concernant
Toute
information
Personne physique
identifiée ou identifiable
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
6. Les données personnelles sensibles
Les données sensibles
Origine raciale et Convictions
ethnique religieuses
ou philosophiques
Santé
Opinions
Vie sexuelle
politiques
Le traitement de ces données n’est autorisé que dans les cas
expressément prévus par la loi
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
7. Les formes, les principes et la durée de traitement
des données personnelles 1/4
Traitement
des DPs
Toute opération ou
ensemble d’opérations
Effectuée à l'aide de Effectuée sans
procédés automatisés procédés automatisés
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
8. Les formes, les principes et la durée du traitement
des données personnelles 2/4
systéma-
collecte enregistrement accumulation stockage
tisation
destruction extraction
Traitement
blocage des DPs utilisation
précision déperson
élimination transfert
nalisation
mise à
mise à jour modification distribution accès
disposition
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
9. Les formes, les principes et la durée du traitement
des données personnelles 3/4
1. Le traitement des DPs doit être effectué conformément aux
principes légaux et d’équité
2. La forme et les moyens de traitement des DPs doivent
correspondre aux buts pour lesquels ce traitement est réalisé
3. Seules les DPs qui correspondent aux finalités recherchées
peuvent être traitées
4. La mise à jour et l’exactitude des DPs doivent être assurées dans
le cadre du traitement des DPs
5. La durée de traitement des DPs doit correspondre aux buts pour
lesquels ce traitement est réalisé
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
10. Les formes, les principes et la durée du traitement
des données personnelles 4/4
Finalité du
traitement des DPs
Durée de
traitement des DPs
Loi Contrat
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
11. Le transfert transfrontière des DPs 1/3
Le transfert
transfrontière
des DPs
pays étranger
personne personne
physique étrangère morale étrangère
organe étatique
d’un pays étranger
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 11
12. Le transfert transfrontière des DPs 2/3: les pays
qui assurent la protection suffisante des DPs
Les pays
reconnus ‘adéquats’
Les pays inclus dans la liste
Les signataires de la
approuvée par Roscomnadzor
Convention de Strasbourg 1981
(liste approuvée
(44 pays)
le 02.10.2012 )
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 12
13. Le transfert transfrontière des DPs 3/3
La forme de consentement à obtenir d’une personne physique dépend
du pays où les DPs sont transférées
Pays Forme de
consentement
Signataire de la Convention de Strasbourg de 1981 Simple
(Convention du Conseil de l’Europe)
Non signataire de la Convention de Strasbourg mais Simple
qui assure une protection suffisante des DPs et est
inclus dans la liste approuvée par Roscomnadzor des
pays reconnus comme ‘adéquat’
Autre pays Forme écrite, certifiée par
la signature authentique ou
électronique
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 13
14. Consentement pour le traitement des données personnelles 1/5
Traitement des DPs
Avec consentement de Sans consentement de
la personne concernée la personne concernée
Forme du consentement
Seulement dans les
forme écrite Toute forme, permettant cas prévus par la loi
(DPs sensibles, de confirmer l’obtention
DPs biométriques, du consentement
flux transfrontières des DPs
dans les états non fiables)
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 14
15. Consentement pour le traitement des données
personnelles 2/5
Le consentement de la personne concernée n’est pas obligatoire:
Dans le cadre d’une action en justice;
Lors de la conclusion et/ou de l’exécution d’un contrat dont la personne
concernée est partie, bénéficiaire, garant;
En matière de protection de la vie, de la santé ou d’autres intérêts d’une
importance vitale, s’il n’est pas possible d’obtenir le consentement de la
personne concernée;
Dans le cadre d’études statistiques ou autres (sous condition de
dépersonnalisation obligatoire des DPs);
Dans l’hypothèse ou l’accès aux DPs est accordé pas la personne
concernée (traitement des DPs publiques);
Dans les autres cas, expressément prévus pas la Loi sur les données
personnelles.
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 15
16. Consentement pour le traitement des données
personnelles 3/5 : forme écrite (qualifiée)
1. Nom, prénom, adresse de la personne concernée (ou de son
représentant) ainsi que les détails de son passeport;
2. Nom et adresse de la personne responsable du traitement des DPs;
3. Nom et adresse de la personne traitant les DPs à la demande du
responsable;
4. Les finalités du traitement des DPs;
5. La liste des DPs qui seront traitées;
6. Les formes de traitement des DPs et les méthodes de traitement;
7. La durée pour laquelle le consentement est octroyé et la procédure de
retrait de ce consentement;
8. La signature de la personne concernée (authentique ou électronique).
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 16
17. Consentement pour le traitement des données
personnelles 4/5: consentement à distance (Internet)
Les exemples d’usage:
o «coche» sous le texte du consentement pour le traitement des DPs
o bouton «lu et approuvé» sous le texte du consentement etc.
Les cas d’usage:
o obtention d’un consentement ‘simple’ (dans l’hypothèse où il n’est pas
nécessaire d’obtenir un consentement écrit ‘qualifié’)
Les conditions d’usage:
Les caractéristiques techniques du site Internet utilisé pour obtenir le
consentement permettent d’identifier la personne concernée (enregistrement sur
le site, envoie d’un e-mail de confirmation etc.).
Les technologies utilisées (serveur) permettent de fixer et de confirmer que le
consentement a été octroyé (liaison sur IP-adresse, logging dans l’espace
personnelle etc.).
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 17
18. Consentement pour le traitement des données
personnelles 5/5: consentement à distance (téléphone)
Les examples d’usage:
o le consentement orale pour le traitement des DPs, octroyé dans le cadre
d’une conversation avec un opérateur de call-center
o un avertissement d’un operateur sur un éventuel enregistrement de la
conversation téléphonique
Les cas d’usage :
o obtention d’un consentement ‘simple’
Les conditions d’usage:
La connexion téléphonique et la conversation permet identifier la personne
concernée
Les technologies utilisées permettent fixer et confirmer le fait que le
consentement a été octroyé (e.g. l’enregistrement de la conversation).
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 18
19. Les obligations à accomplir dans le domaine du
traitement des DPs
Nomination au sein de la société d’une personne responsable de
l’organisation du traitement des DPs;
Développement d’une politique et des actes normatifs locaux sur le
traitement et la protection des DPs;
Mise en œuvre des mesures juridiques, organisationnelles et techniques
pour la protection des DPs;
Contrôles internes et (ou) audits externes du traitement des DPs;
Evaluation des dommages susceptibles d’être apportés aux personnes
concernées en cas de violation des règles de traitement des DPs;
Information des employés;
Autres obligations.
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 19
20. Notification sur le traitement des DPs
Forme de notification
Sous forme papier Sous forme électronique
255 426
sociétés de
traitement Roscomnadzor
enregistrées
30
jours
Date ultime de
Introduction dans le registre des informations:
dépôt de la
notification
1) mentionnées dans la notification
01.01.2013 2) sur la date de la notification
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 20
21. La pratique de Roscomnadzor 1/3 : fondements
juridiques des contrôles
Responsables du Responsables du
traitement des DPs , traitement des DPs ,
enregistrés non inclus dans le registre
CONTROLES
Réguliers Hors plan
• expiration du terme d’exécution d’une prescription,
• plaintes des personnes concernées,
Le plan annuel • ordre du responsable de Roscomnadzor,
• violation des droits et intérêts des citoyens par
le responsable du traitement des DPs
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 21
22. La pratique de Roscomnadzor 2/3 : les contrôles
Sont vérifiés dans le cadre d’un contrôle:
1. La notification sur le traitement des DPs;
2. Les documents liés à des infractions ayant fait l’objet de plaintes par
personnes concernées;
3. Les documents qui prouvent que les infractions on été éliminées;
4. Les consentements écrits des personnes concernées;
5. Les documents prouvant la conformité aux normes établies par la loi du
traitement des DPs sensibles;
6. Les documents prouvant la destruction des DPs dès que les finalités pour
lesquelles elles ont été traitées sont atteintes;
7. Les règlements locaux établissant la procédure de traitement des DPS.
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 22
23. La pratique de Roscomnadzor 3/3: les chiffres
L’activité de contrôle de Roscomnadzor
746 contrôles (dont 446
contrôles planifiés et 300
contrôles hors plan) ont été
effectués durant les 6 premiers
mois de 2012.
721 infractions dans le domaine
du traitement des DPs
identifiées.
Les sanctions:
762 prescriptions ont été émises;
2897 protocoles sur les infractions ont été dressés;
2392 décisions rendues par les tribunaux (dont 2376 maintenues en vigueur)
Au titre de ces infractions: des amendes d’un montant 4,3 mln RUB ont été infligées sur
lesquelles 1,9 mln. RUB a déjà été perçu
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 23
24. Sanctions 1/3: la législation actuelle
Code des infractions administratives (CoAP):
• Article 13.11 – Violation de la procédure prévue par la loi pour la collecte,
stockage, usage ou distribution des informations sur les citoyens (les
données personnelles)
Sanction:
avertissement
amende:
personnes physiques: de 300 à 500 RUB;
responsables au sein d’une personne morale: de 500 à 1000 RUB;
personne morales: de 5 000 à 10 000 RUB.
NB: Le paiement d’une amende ne dispense de l’obligation d’éliminer les
infractions commises en conformité des prescriptions de Roscomnadzor
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 24
25. Sanctions 2/3: le projet de modifications du CoAP
La classification des infractions et des sanctions proposées:
non-exécution des obligations sur la protection des données personnelles: pour
les personnes morales - amende de 20 000 à 30 000 RUB;
traitement des données personnelles sans le consentement de la personne
concernée: pour les personnes physiques – amende de 30 000 à 50 000 RUB,
et dans certains cas une amende équivalente à 1,5-2% des revenus, avec un
minimum de 400 000 à 700 000 RUB (en fonction des circonstances de
l’infraction),
traitement illégal des donnés personnelles sensibles: pour les personnes
morales - amende équivalente à 1,5-2% des revenus, avec un minimum de
400 000 à 700 000 RUB (en fonction des circonstances de l’infraction),
violation des conditions pour le transfert transfrontière des données
personnelles: pour les personnes morales - amende de 20 000 à 30 000 RUB,
et dans certains cas, une amende équivalente à 1,5-2 des revenus, avec un
minimum de 500 000 à 700 000 RUB (en fonction des circonstances de
l’infraction).
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 25
26. Sanctions 3/3: les défauts du projet de CoAP
o Les sanctions prévues pour la commission de l’infraction et non
pour le dommage subit (à la différence de la législation
européenne);
o Aucun moyen de procédure pour le règlement des différends
directement entre la personne en charge du traitement des DPs et
la personne concernée (y compris la réparation des dommages);
o Disproportion entre les consequences de l’infraction et l’importance
de la sanction;
o Description insuffisante des caractéristiques des infractions.
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 26
27. A faire dans un premier temps
développer la politique de traitement des DPs et la mettre en ligne;
développer la documentation interne sur le traitement des DPs;
nommer une personne responsable pour le traitement des DPs;
déterminer la liste des personnes ayant accès aux DPs;
notifier Roscomnadzor (avant le 01.01.2013);
introduire des dispositions sur le traitement des DPs dans les contrats
avec les partenaires;
formaliser les relations avec les sous-traitants dans le domaine du
traitement des DPs.
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 27
28. Merci pour votre attention!
Anastasiya Lemysh
Avocat à la Cour
CMS, Russie
T: +7 495 786 3076
E: Anastasiya.Lemysh@cmslegal.ru
CMS, Russie
11, bvd. Gogolevsky
119019 Moscou
Т +7 495 786 4000
F +7 495 786 4001
www.cmslegal.ru
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 28