perspectives sur le droit des donnees

August, 2010Thème: droit des données Octobre 2015

Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.

Agenda

Introduction Cadre Juridique International et Européen Les aspects transfrontaliers des infractions à la vie privée par la

surveillance de masse de la part des agences étatiques Conclusion

Droit des NTIC | Octobre 2015


Introduction: Définitions

Larousse: Donnée Ce qui est connu et admis, et qui sert de base, à un raisonnement, à un examen ou à une recherche.

Données personnelles Les "données personnelles" représentent toutes les informations concernant la vie privée,

professionnelle ou publique d'un individu. Il peut s'agir d'un nom, d'une photo, d'une adresse email, de données bancaires, de commentaires sur les réseaux sociaux, d'informations médicales ou de l'adresse IP de l'ordinateur de la personne concernée.

Loi Informatique et Libertés « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement

ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui sont propre à son identité physique, physiologique, psychique, économique, culturelle ou sociale»

La vie privée Un concept relativement récent d’un point de vue aussi bien sociologique que juridique. Formalisée pour

la première fois dans un article de 1890 de Brandeis et Warren dans le Harvard Review « Right to Privacy »



Etablir un équilibre entre le droit à la vide privée et le légitime besoin de tiers (entreprises, administrations) de traiter des informations concernant cette personne.

Imposer des limites à la surveillance – ex. Google: 20 000 Térabits de données traités / jour

Etablir une confiance dans le numérique – 63% des français ne sont pas prêts à sacrifier une partie de leur vie privée pour plus de facilité, notamment

lorsqu'ils utilisent Internet (EMC privacy Index)– 80 % des Français ne croient pas à la confidentialité de leurs données personnelles sur Internet (Syntec’13)

Marché des données estimé à + 1 milliard de milliards pour l’Europe

En France le droit à la vie privée se range parmi les droits de la personnalité supposés inaliénable (qui ne peut être cédé, tant à titre gratuit qu'onéreux, ni grevé de droits réels)

Introduction: Pourquoi réglementer la protection des données personnelles?


Identité personnelle

Respect de la vie privée Droits à l’image

Droit des Données Personnelles

Droit de la personnalité

Figure 1. De l’identité personnelle à l’identité numérique Figure 2. Visualisation des cookies en temps réel lors de navigation sur internet (CookieViz)

Identité numérique


Introduction: Quelles sont les alternatives à la réglementation?


REGLEMENTATION

AUTOREGULATION

Normes européennes

Loi, Décret, réglement

Normes edictées par la CNIL

Normes Internationales

Contrat intégrant des obligations légales

Binding corporate rules

Privacy Enhancing Technologies

SoftLaw

Privacy by Design

Corregulation

Labellisation par la CNILAvis de conformité délivré par la CNIL

Accountability« obligation de rendre

des comptes »

Responsabilité contractuelle

Déontologie

Code de conduite purement privé

Chartes

Privacy (1)

(1) 4e Amendement de la Constitution des Etats Unis, « Right to be let alone » Thomas Cooley (1888),

Fig 3. De la règlementation à l’auto-régulation


Agenda

Introduction Cadre Juridique Européen

Grands principes et évolution du cadre juridique européen La loi Informatique et Libertés le GDPR

Les aspects transfrontaliers des infractions à la vie privée par la surveillance de masse de la part des agences étatiques

Conclusion



Grands principes et évolution du droit européen 1950 - 2009Convention 108

1981

Art 8. « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance »

1950Droit d’accès, de modification et d’opposition

Convention EU de sauvegarde des droits de l’H et des libertés fondamentales

Finalité du traitement

Information et consentement Qualité des données Sécurité des données

Limitation de la durée de conservation

Directive 95/46

Collectées pour des finalités déterminées explicite et légitimes; adéquates, pertinentes et non excessives

1995

Collecte interdite sauf exception

Protection des données sensibleLimitation de l’exportation

Sous-traitant celui-ci doit apporter les garanties suffisantes

autorisé que si celui-ci assure le niveau adéquat de protection des données – USA « Safe Harbor »

Obligation de recueil de consentement

Droits pour la personne concernée

Contrôle et responsabilité:Autorité de contrôle, des formalités, recours et des sanctions

Elles peuvent être conservées plus longtemps si elles sont anynonimisées

Opposition gratuite

Directive 02/58

Sécurité du réseaux: Informer les utilisateur en cas de violation

Prospection commerciale: Impose le principe d’obtention du consentement préalable à toute prospection automatisée

Conservation des données de connexion et de localisation: entre 6 mois et 2 ans

Directive 09/135 « Paquet Télécom »« Communications

Électroniques » 2002 2009

protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des personnes

la protection des personnes à l’égard du traitement automatisé des données à caractère personnel

Obligation de notification des violations de sécurité

Cookies: n’est autorisé que si l’utilisateur a donné sont accord- Opt-In / Opt-Out



Grands principes et évolution du droit européen (mise à jour Oct 2015)Législations nationales en matière de droit de données personnelles

Par décision de la Cour de Justice de l’Union Européenne du 06 Octobre 2015 (affaire C-362/14), le mécanisme d’adéquation " Safe Habor " permettant le transfert de données vers les entreprises adhérentes aux Etats-Unis a été invalidé.

2013

2015


La CJUE a donné raison à un internaute autrichien, Max Schrems, qui s'opposait au transfert de ses données récoltées par Facebook vers les Etats-Unis.


La Loi Informatique et Libertés (6 janvier 1978)

TYPE DE TRAITEMENT CONCERNÉS

CHAMP TERRITORIAL

OBLIGATION D’INFORMATION DE LA PERSONNE CONCERNÉE

OBLIGATION DE RECUEIL DU CONSENTEMENT DE LA PERSONNE CONCERNÉE

DROIT D’ACCÈS AUX DONNÉES

DROIT DE RECTIFICATION

DROIT D’OPPOSITION

DISPOSITIONS CONCERNANT LES DONNÉES

INTERDICTION DE TRAITEMENT DE DONNÉES SENSIBLE

RÉUTILISATION DES DONNÉES POUR D’AUTRES TRAITEMENTS

OBLIGATION DE SÉCURISATION: Obligation de moyens et non de résultats

OBLIGATION DE NOTIFICATION DE VIOLATIONS DE SÉCURITÉ DEPUIS 2011

EXPORTATION DE DONNÉES PERSONNELLES HORS UE

• La loi s’applique aux traitements dont le responsable est soit établi sur le territoire français soit établi hors UE mais ayant recours à des moyens de traitement localisés en France.

• Application de la loi française aux services web établis hors UE

• Google: les serveurs de Google.fr se situe en Californie et Google France n’étant qu’un représentant commercial et non le responsable du traitement, c’est le droit californien qui s’applique

• Pour appliquer la directive 95/46 le G29 estime que parmi « les moyens de traitement » on peut inclure les traitement logiciels et notamment les cookies élaborés sous le contrôle du prestataire de service mais sur l’ordinateur de l’internaute.

• « s’applique aux traitements automatisés de données à caractère personnel, ou non automatisés appelés à figurer dans des fichiers »



Projet de règlement européen sur les données personnellesou General Data Protection Regulation GDPR

Modifie en profondeur l’organisation légale en Europe

1. Grands principes

Droit à l’oubli (entre liberté d’expression et devoir de mémoire)

Principe du minima: a priori les données sont utilisées de manière anonyme

La portabilité des données : possibilité de retrait des données

Privacy by Design: Mettre en place des principes de respect de la vie privée dès la conception

2. Accountability: l’obligation de preuve contre la suppression des formalités (plus de

contrôle)

Un délégué à la protection des données pour s’assurer de la conformité aux lois européennes

Etudes d’impact des risques

3. Obligation de notification des failles de sécurité dans les 24hrs

4. CIL 2.0 : Rôle de conseiller et contrôleur (auditeur)

5. Amendes entre 1M€ et 100M€ (encore à définir)Droit des NTIC | Octobre 2015


Agenda


Grands principes et évolution du cadre juridique européen La loi Informatique et Libertés le GDPR


Conclusion




1. Les infractions transfrontalières contre la vie prive à l’échelle européenne A) Apports de la Cour Européenne des droits de l’homme (CEDH) et CJUE

L’ingérence d’un autorité publique dans l’exercice du droit à la vie privée peut être nécessaire dans une société démocratique dans les cas de sécurité nationale, du bien-être économique du pays, de la défense de l’ordre public et de la prévention des infractions pénales.

Des règles claires et détaillées en matière d’interception des conversation téléphonique sont indispensable cf Affaire Liberty (Ovt 2008): British Irish Rights Watch et le conseil irlandais des libertés civiles contestaient une disposition du droit britannique par laquelle le MoD avait mis en place à Caoenhurst une dispositif de contrôle électronique capable d’intercepter 10 000 communications téléphoniques émise depuis Dublin vers Londres

En Avril 2014 la CJUE invalide de manière intégrale la directive 2006/24/CE sur la conservation des données à caractère personnel et prohibe ainsi toute surveillance de masse, Affaire Digital Rights Ireland Ltd & Michael Seitlinger e.

B) Apports de l’Union Européenne TFUE de 2007 Art 16. Toute personne a droit à la protection des données à caractère

personnel la concernant. Directive 95/46: Pays tiers autorisés & la « sphère de sécurité » du Safe Harbor



2. Les infractions transfrontalières contre la vie privée à l’échelle universelle A) Pacte International des Droits Civils et Politiques (1966) B) ONU

Rés. de l’AG n°45/95 sur les fichiers de données personnelles informatisés du secteur public et privé et des org. internationales (14 decembre 1990)

Dec 2013 L’assemblée générale ONU a adopté une résolution reconnaissant « le droit à la vie privée à l’ère numérique »

C) Le droit interne des Etats-Unis Initialement la Constitution des Etats Unis ne reconnaissant pas le droit à la vie privée, cette

notion a été par la suite introduite dans le 4eme Amendement. 1972, Après l’affaire du Watergate une loi contre la surveillance des agences étatiques a été

introduite sous le nom de Privacy Act. Une autre loi Foreign Intelligence Surveillance Act (1978) a autorisé la collecte de données ne provenant pas du territoire américain.

Après le 11 Septembre 2001, l’USA Patriot Act a élargi l’extension de collecte de données aux Etats Unis surtout aux personnes qui n’ont pas la citoyenneté américaine

En 2008 le Foreign Intelligence Surveillance Act Amendment a ajouté l’autorisation de surveillance de masse pour les données concernant les pers en dehors des Etats-Unis.


Agenda


Grands principes et évolution du cadre juridique européen La loi Informatique et Libertés A venir: le GDPR


Conclusion



Conclusions

"We're trying to figure out what the future of search is," Mr. Schmidt acknowledges. "I mean that in a positive way. We're still happy to be in search, believe me. But one idea is that more and more searches are done on your behalf without you needing to type.“

"I actually think most people don't want Google to answer their questions," he elaborates. "They want Google to tell them what they should be doing next.“


Google and the search for the future - Eric Schmidt, Google's CEO, 14 aout 2010


www.alcatel-lucent.comMerci Questions & Réponses


Grands principes de la Convention 108 du Conseil de l’Europe (28 janvier 1981)

Droit d’accès, de modification et d’opposition : Toute personne physique a le droit d’obtenir du « maitre du fichier »

les données le concernant er de les faire le cas échéant effacer, rectifier ou compléter

Finalité du traitement: Un traitement de données doit avoir une finalité explicite et préalable; les données recueillies ne peuvent

ensuite être utilisée pour une autre finalité

Information et consentement: Toute personne physique doit être informée que ses données vont faire l’objet d’un traitement

dans une finalité donnée et ce traitement ne peut avoir lieu sans son consentement

Qualité des données: Les données traitées doivent être exacte compètes et à jour

Sécurité des données: Des mesures de sécurité appropriées doivent être prises pour empêcher l’altération, la destruction l’accès

ou la divulgation non autorisés

Limitation de la durée de conservation: les données ne peuvent être conservées que pendant la durée nécessaire de

traitement

Protection des données sensible: le traitement de données (origine raciale, opinions politique, religion, etc) fait l’objet de

mesures particulières

Limitation de l’exportation: Les données ne peuvent être exportées dans un pays donnant un niveau de protection comparable


La Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des personnes

Règles concernant les données

Qualité des données: « traitées loyalement et licitement »; collectées pour des finalités déterminées explicite et légitimes; ;

adéquates, pertinentes et non excessives au regard de ces finalités; exactes et à jour; conservées pendant une durée n’excédant pas

celle nécessaire à la finalité; elles peuvent être conservées plus longtemps si elles sont anynomisées, c’est-à-dire que tout lien entre

une donnée et la personne est éffacée

Données sensibles: Le traitement de certaines catégories de données (origine raciale, opinions politique, syndicales,

philosophiques, religieux, santé, sexualité) est interdit sauf exception. Le traitement de infractions et condamnations pénales ne peut

être effectué que sous le contrôle de l’autorité publique.

Obligation de sécurité: Le responsable du traitement doit mettre en œuvre les mesure techniques et organisationnelles

appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, l’altération , la diffusion ou l’accès

non autorisé. Lorsque le traitement est confié à un sous-traitant celui-ci doit apporter les garanties suffisantes quand aux mesures de

sécurité et s’engager contractuellement à les mettre en œuvre.

Exportation de données: l’exportation vers un pays tiers n’est autorisé que si celui-ci assure le niveau adéquat de protection

des données

Pays autorisés: Suisse, Canada, Argentine, Norvège, Islande, Nouvelle Zélande, Andorre, Liechtenstein ainsi que Jersey, Gernesey, Isle de Man

Pour les Etats Unis seul les transferts vers des entreprises ayant adhéré au dispositif de « Safe Harbor » sont autorisés


La Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des personnes

Quels droits pour la personne concernée?

Obligation de recueil et de consentement: que si la personne concernée a « indubitablement » donné son

consentement; si le traitement est nécessaire à l’intérêt vital de la personne, ou si le traitement est nécessaire à l’exécution d’un contrat

signé par la personne; ou si le traitement répond à une obligation de service public; ou si le traitement est nécessaire à la réalisation de

l’intérêt légitime du responsable du traitement

Droit à l’information: lorsque sont collectées des données la concernant; une personne doit être informée: de l’identité du

responsable du traitement, de la finalité du traitement ou destinataires des données, du caractère facultatif ou obligatoire, de

l’existence de son droit d’accès et de modification

Droit d’opposition: toute personne a le droit de s’opposer gratuitement au traitement à des fins de prospection de données la

concernant (ex Spam)

Contrôle et responsabilité

Instauration d’une autorité de contrôle

Formalités

Recours, responsabilité sanctions x


La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (1/6)Historique

Fichier SAFARI du Ministère de l’intérieur créer un scandale La loi de 1978 a été rédigée dans une optique de contrôle des fichiers centraux,

principalement de l’Etat. La directive européenne de 95 apporte un cadre plus large concernant aussi

bien l’administration que le secteur privé. La transposition en 2004 modifie la loi sur les points suivants:

Prise en compte dans l’application de la loi des fichiers manuels, des sons et des images; à l’exception de la vidéo surveillance pour la sécurité publique

Renforcement des pouvoir de contrôle a postériori de la CNIL Égalité de traitement entre secteur public et privé, sauf pour les domaines de la

souveraineté qui ne relève pas de la compétence de l’Union Européenne Distinction entre le transfert de données interne à l’union européen et ceux à destination

des Etats Tiers qui ne devient possible que si l’Etat destinataire assure un niveau de protection adéquat

Objectif moral


La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (2/6)Définitions

Définit une donnée à caractère personnel Traitement des données et fichier

« constitue un traitement de données à caractère personnel toute opération portant sur de telles donnés quelque soit le procédé utilisé et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition »

« Constitue un fichier de données à caractères personnel tout ensemble structuré et stable de données à caractères personnel accessible selon des critères déterminés »

Personne concernée par le traitement Responsable du traitement vs sous-traitant uniquement soumis à une obligation

contractuelle Destinataire des données

Permet de prouver à la CNIL que seules les personnes ayant un intérêt légitime peuvent accéder aux données.


La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (3/6)Champ d’application de la loi

Type de traitement concernés « La présente loi s’applique aux traitements automatisés de données à caractère personnel,

ou non automatisés appelés à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activité exclusivement personnelles »

– Le répertoire personnel n’est pas à déclarer à la CNIL par ex.– Le simple fait d’utiliser un ordinateur ne constitue pas un traitement automatisé de données

personnelles

Champ territorial La loi s’applique aux traitements dont le responsable est soit établi sur le territoire français

soit établi hors UE mais ayant recours à des moyens de traitement localisés en France. Application de la loi française aux services web établis hors UE

– Google: les serveurs de Google.fr se situe en Californie et Google France n’étant qu’un représentant commercial et non le responsable du traitement, c’est le droit californien qui s’applique

– Pour appliquer la directive 95/46 le G29 estime que parmi « les moyens de traitement » on peut inclure les traitement logiciels et notamment les cookies élaborés sous le contrôle du prestataire de service mais sur l’ordinateur de l’internaute.

– Le G29 estime qu’un moteur de recherche qui vend de la publicité induite par des données à caractère personnel et en analysant le comportement de l’internaute afin de lui proposer des bannières publicitaires ciblées est également soumis au droit local.

– Retournement de la jurisprudence: suite à la demande de suppression dans le moteur de recherche de résultat à deux requête contenant le nom d’une personne et se référant à une vidéo qui se retrouvait diffusée sans le consentement de la personne (TGI Montpellier 2010)


La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (4/6)Obligations prévues par la loi

Obligation d’information de la personne concernée Art.32 « la personne auprès de laquelle sont recueillies des données à caractère

personnel la concernant est informée sauf si elle l’a été au préalable par le responsable du traitement ou son représentant. »

Règles pour les cookies Cookies: Fichiers permettant de conserver une trace des actions de l’utilisateur du

terminal sur cette application Art 32 « Tout abonné ou utilisateur d’un service de communications électroniques doit

être informé de manière claire et complète » En pratique pour éviter d’avoir à donner son consentement pour chaque lien ce qui

deviendrait insupoportable pour l’utilisateur, l’accord peut être matérialisé via le paramétrage. C’est donc en configurant son navigateur que l’utilisateur pourra matérialiser un OPT-IN général

Obligation de recueil du consentement de la personne concernée Art 7 « Un traitement de données à caractère personnel doit avoir reçu le consentement

de la personne concernée ou satisfaire des conditions spécifiques (légal, sauvegarde de la vie, mission de service pubic, exécution d’un contrat, intérêt légitime poursuivi par le responsable du traitement)


La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (5/6)Obligations prévues par la loi Droit d’accès aux données

Toute personne peut demander à un responsable de traitement si des données la concernant sont traitées et obtenir des informations sur le traitement, ainsi qu’une copie sous forme intelligible des données la concernant et toute information disponible sur leur origine.

Droit de rectification Toute personne peux exiger que les données la concernant soient rectifiées, complétées ou mise à jour

Droit d’opposition Son exercice n’est possible de façon générale que pour motif légitime.

Il faut alors justifier de la légitimité de sa demande ce qui entre en conflit avec le droit reconnu du responsable du traitement de la même loi de se passer du consentement des personnes concernées si cela est nécessaire à la réalisation de son intérêt légitime

Dispositions concernant les données Sont collectées et traitée de manière loyale et licite

Sont collectées pour des finalités déterminées explicites et légitimes

Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées

Elles sont exacte, complète et si nécessaire mis à jour

Limitation de la durée de conservation « droit à l’oubli »


La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (6/6)Obligations prévues par la loi Interdiction de traitement de données sensible

Qui font apparaître directement ou indirectement les origines raciales, ethniques, les opinions politiques, philosophiques ou religieuses ou d’appartenance syndicale des personnes ou qui sont relative à la santé ou à la vie sexuelle de celle-ci

Exceptions: Etudes statistiques, Recherche

Figure également celle qui peuvent être traitées que sur autorisation de la CNIL au titre de l’art 25: – Données comprenant le numéro d’inscription des personnes au répertoire national d’identification

des personnes physiques; « numéro de sécurité sociale »– Données comportant des appréciations sur les difficultés sociales des personnes– Données biométriques nécessaire au contrôle des personnes

Réutilisation des données pour d’autres traitements Le principe est qu’on ne réutilise des données collectées dans un but précis, toutefois l’art 36 a

prévu qu’il peut être procédé à un traitement ayant des finalités nouvelles soit– Avec l’accord de la personne, de la CNIL, ou pour la recherche notamment pour la santé ou pour le

traitement d’intérêt public

Obligation de sécurisation Obligation de moyens et non de résultats

Obligation de notification de violations de sécurité depuis 2011

Exportation de données personnelles hors UE