Données perso

380 vues

Publié le

Le traitement des données personnelles - Intervention du cabinet PYXIS AVOCATS

0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
380
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
14
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Données perso

  1. 1. Le traitement des données personnelles La CNIL – Le CIL Salon du numérique en Vaucluse 7 mars 2013 Lionel FOUQUET avocat
  2. 2. Plan Introduction I- La législation A- Les textes protecteurs de la vie privée B- La règlementation spécifique : la loi informatique et libertés du 6 aout 2004 II- Mise en œuvre A- Obligations de l’exploitant B- La CNIL C- Le correspondant informatique et libertés (CIL)
  3. 3. I- La législation A- Les textes protecteurs de la vie privée - Atteinte à la vie privée : - 226-1, le fait de porter volontairement atteinte, à la vie privée d'autrui, « en captant, enregistrant, ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel » ou « en fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé ». - Article 9 du code civil - Secret professionnel - 226-13 du Code pénal prévoit que « la révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état soit par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende ».
  4. 4. - Secret médical - C. pén., art. 226-14 - Secret des correspondances - 226-15 : « Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45 000 euros d'amende. - Vidéosurveillance et vidéoprotection - Lieux privés : L.6 janvier 1978 - Lieux publics : L. 21 janvier 1995, 23.01.06, 14.03.2011
  5. 5. B- La règlementation spécifique : la loi informatique et libertés du 6 aout 2004 1- Les apports : - renforcement des droits fondamentaux des personnes dès lors que les données, de quelque nature qu'elles soient font l'objet d'un traitement, automatisé ou non, qui s'accompagne d'un renforcement des obligations pesant sur les responsables de ces traitements. - élargissement important des pouvoirs de la CNIL qui peut contrôler sur pièces ou sur place la mise en œuvre des traitements, prononcer des sanctions notamment d'ordre pécuniaire, interrompre et faire cesser un traitement. - rationalisation des formalités préalables exigées pour la création d'un traitement de données à caractère personnel - création du correspondant à la protection des données. : le CIL
  6. 6. 2- Champs d’application : données, informations, traitements soumis à la loi - Définition des données art 2 = « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres » : - Nom, prénom, âge, sexe, date et lieu de naissance… - Le nom seul n’est pas une donnée perso : « pour qu'il en soit ainsi, il aurait fallu que soit démontré le fait qu'une identification reste possible par le recoupement des fichiers noms et prénom » (TGI Paris, réf., 22 sept. 2008, M.Kalid O. c/Sté Notrefamille.com, RLDI 2008/42, no 1388). - Email, photo, vidéo, voix - Régime mat, comportements de consommation, loisirs, diplômes - Origines ethniques, raciales, santé, opinions politiques, religion… - La jurisprudence n’est pas fixée concernant les adresses IP
  7. 7. - Les données sensibles Les nouvelles dispositions de l'article 8 de la loi Informatique et libertés incluent également dans la notion de données à caractère personnel des informations plus spécifiques, comme celles faisant apparaître directement ou indirectement : - les origines raciales ; - les opinions politiques, philosophiques ou religieuses ; - les appartenances syndicales des personnes ; ou - la santé ou la vie sexuelle (L. no 78-17, 6 janv. 1978, modifiée, art. 8). Ces données sont alors dites « sensibles », du fait de leur caractère éminemment intime. Pour cette même raison, il a été prévu que leur traitement est en principe interdit, sauf « dans la mesure où la finalité du traitement l'exige ».
  8. 8. - Le traitement de données « toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé » : extraction, modification, conservation, transfert, échange de données
  9. 9. II- Mise ne œuvre A- Obligations de l’exploitant Obligation de mettre en œuvre un traitement de manière loyale et licite - Article 6, 1° = principe de transparence - Obligation d'informer les personnes dont les données sont traitées sur : - la finalité du traitement des données ; - les personnes physiques ou morales destinataires des données ; - l'existence du droit d'accès et de rectification dont les personnes concernées par le traitement disposent. - Exceptions : - le respect d'une obligation légale incombant au responsable du traitement, à l'instar des traitements relatifs à l'établissement des fiches de paie mis en œuvre par les employeurs ; - la sauvegarde de la vie de la personne concernée ; - l'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement
  10. 10. Obligation de déterminer des finalités explicites et légitimes Chaque traitement est créé initialement pour une certaine finalité, qui conditionne : - les données traitées, qui doivent être pertinentes par rapport à la finalité choisie ; - la qualité des destinataires, qui doit être adaptée à cette finalité ; - la durée de conservation des informations Obligation du caractère proportionné du traitement mis en œuvre (article 6, 3°) Obligation de restreindre le type de données à collecter aux catégories nécessaires à la mise en œuvre du traitement et d'éviter la collecte de données sans rapport avec les finalités du traitement.
  11. 11. Obligation de traiter des données exactes et complètes (L. art. 6, 4°) - Pb = durée de conservation et … droit à l’oubli - Principe : ne doivent pas être conservées pour une durée supérieure à celle nécessaire aux finalités du traitement, à moins que leur conservation ne soit autorisée par la CNIL - Le fait de conserver des données personnelles au-delà de la durée prévue est puni de 5 ans d'emprisonnement et de 300 000 euros d'amende (C. pén., art. 226-20), voire 1 500 000 euros si le contrevenant est une personne morale (C. pén., art. 226-24) - Comment faire : se référer aux délibérations de la CNIL, aux pratiques du secteur concerné… Ex : fichiers clients : 10 ans
  12. 12. B- La CNIL - Les traitements doivent faire l'objet des formalités prévues par la loi Informatique et libertés préalablement à leur mise en œuvre. Le demandeur pourra mettre en œuvre le traitement dès qu'il aura reçu le récépissé de la part de la Commission. - Sanction : 150.000 € d’amende + éventuellement sanctions pénales (226-16 CP).
  13. 13. Plusieurs régimes différents - Dispense de déclaration : traitement non automatisés (manuscrits..., sauf exceptions : traitement des infractions …) ; traitement à long terme d’archives, traitement mis à œuvre par une asso, à caractère religieux, politique ou syndical, sites internet perso - Déclaration simplifiée : données perso ne comportant pas d’atteintes à la vie privée : fichiers clients, gestion des membres d’un asso, gestion de biens immo - Déclaration normale : traitement automatisés de données à caractère perso - Demande d’autorisation : situations considérées comme attentatoires à la vie privée et aux libertés fondamentales (origines raciales, ethniques, religieuses, données relatives à la santé, données génétiques - Demande d’avis : sûreté, la défense ou la sécurité publique, données biométriques… - Cas spécifiques : professionnels de santé…
  14. 14. C- Le CIL - décret n°2005-1309 du 20 octobre 2005 (art. 42 à 56). 1- Rôle du CIL - dispense des obligations déclaratives auprès de la CNIL : déclarations normales ou simplifiées prévues aux articles 23 et 24 de la loi - Mais sa présence ne dispense pas l’organisation des procédures de demandes d’autorisation (art. 22-III) - Il tient registre et met à jour la liste des traitements effectués dans l’entreprise et la met à disposition de toute personne (décret, art. 47 & 48) - Il est également chargé de veiller à l’application de la loi par voie de conseil, médiation en interne et alerte, au besoin auprès de la CNIL (décret, art. 49, al.1er à 5, art. 51).
  15. 15. 2- Désignation du CIL - Nommé par le responsable du traitement de fichier (gérant) - Désignation est portée tout d’abord à la connaissance des instances représentatives du personnel, notifiée à la CNIL (télé-déclaration sur le site de la CNIL). La désignation du CIL prend effet un mois après la date de la notification à la CNIL (décret, art. 43). - Le CIL doit bénéficier « des qualifications requises pour exercer ses missions ». Compétences juridiques et informatiques. Rien d’autre n’est spécifié dans la loi ni dans le décret. - Possibilité de recourir à un CIL externe pour les entreprises de -50 salariés. CIL interne si + 50 salariés - Le responsable des traitements ou son représentant légal ne peut être CIL
  16. 16. 3- Statut protecteur du CIL - Statut proche du représentant du personnel : « ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions ». De même, « Il peut saisir la Commission nationale de l’informatique et des libertés des difficultés qu’il rencontre dans l’exercice de ses missions ». - Le CIL exerce sa mission directement auprès (et non sous les ordres) du responsable des traitements (décret, art. 46, al.1er). Il ne reçoit « aucune instruction pour l'exercice de sa mission » (idem, al.2), ce qui renforce encore son indépendance. - Ne peut exercer d’autres fonctions qui entreraient en conflit d’intérêts avec sa mission (directeur informatique…)
  17. 17. 4- Missions du CIL - Dresse un inventaire de tous les traitements de données à caractère personnel existants : liste actualisée « en cas de modification substantielle des traitements en cause » et tenue à la disposition de toutes personne qui en fait la demande. - Rend compte de son action au responsable des traitements par un bilan annuel tenu à disposition de la CNIL 5- Manquements la CNIL peut demander au responsable des traitements de le relever de ses fonctions, ou le responsable du traitement avec accord de la CNIL
  18. 18. Lionel FOUQUET contact@pyxis-avocats.fr 27, Bd Denis Soulier 84000 AVIGNON 04.84.51.00.00

×