protection des données personnelles en russie
DESCRIPTION
Presentation for CCIFR committee (in French)TRANSCRIPT
9 octobre 2012
La protection des données
personnelles en Russie
Anastasiya Lemysh
Avocat à la Cour
CMS, Russie
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les sujets clés
1. Les fondements juridiques du traitement des données personnelles
2. La notion de « données personnelles »
3. Les données personnelles sensibles
4. Les formes, les principes et la durée du traitement des données
personnelles
5. Le transfert transfrontière des données personnelles
6. Le consentement pour le traitement des données personnelles
7. Les obligations à accomplir dans le domaine du traitement des données
personnelles
8. La notification sur le traitement des données personnelles
9. La pratique de Roscomnadzor. Sanctions
2
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les fondements juridiques du traitement des
données personnelles 1/2 – au plan international
• Lignes directrices de l'OCDE sur la protection de la vie privée et les
flux transfrontières de données de caractère personnel (1980)
• Convention pour la protection des personnes à l'égard du traitement
automatisé des données à caractère personnel (1981)
• Directive 95/46/CE du Parlement européen et du Conseil du 24
octobre 1995 relative à la protection des personnes physiques à
l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données
• Directive 2002/58/CE du Parlement européen et du Conseil du 12
juillet 2002 concernant le traitement des données à caractère
personnel et la protection de la vie privée dans le secteur des
communications électroniques (Directive vie privée et
communications électroniques)
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les fondements juridiques du traitement des
données personnelles 2/2 – législation russe
• Constitution de la Fédération de Russie
• La loi fédérale du 27.07.2006 No.152-FZ «Sur les données
personnelles» (rédaction du 25.07.2011)
• Le code du travail de la Fédération de Russie du 30.12.2001
• Le code de la Fédération de Russie des infractions administratives
du 30.12.2001
• La loi fédérale du 27.07.2006 No 149 – FZ «Sur l’information, les
technologies informatiques et la protection de l’information»
• Les décrets du Gouvernement de la Fédération de Russie
• Les ordres de Minsvyaz, Roscomnadzor et FSTEC
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
La notion de « données personnelles »
Les données personnelles (DPs) – toute information qui concerne
directement ou indirectement une personne physique identifiée ou
identifiable («personne concernée») (art. 3 de la Loi sur les DPs)
Personne physique
identifiée ou identifiable
Toute
information
concernant
Peut être identifiée par des moyens
raisonnablement accessibles
Texte, information graphique,
biométrique, photographique,
acoustique, digitale …
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les données personnelles sensibles
Les données sensibles
Opinions
politiques
Santé
Vie sexuelle
Origine raciale et
ethnique
Convictions
religieuses
ou philosophiques
Le traitement de ces données n’est autorisé que dans les cas
expressément prévus par la loi
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les formes, les principes et la durée de traitement
des données personnelles 1/4
Traitement
des DPs
Toute opération ou
ensemble d’opérations
Effectuée à l'aide de
procédés automatisés
Effectuée sans
procédés automatisés
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les formes, les principes et la durée du traitement
des données personnelles 2/4
Traitement
des DPs
précision
blocage
élimination
destruction
transfert
extraction
stockage accumulation
utilisation
collecte enregistrement systéma- tisation
déperson
nalisation
mise à jour modification distribution mise à
disposition accès
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les formes, les principes et la durée du traitement
des données personnelles 3/4
1. Le traitement des DPs doit être effectué conformément aux
principes légaux et d’équité
2. La forme et les moyens de traitement des DPs doivent
correspondre aux buts pour lesquels ce traitement est réalisé
3. Seules les DPs qui correspondent aux finalités recherchées
peuvent être traitées
4. La mise à jour et l’exactitude des DPs doivent être assurées dans
le cadre du traitement des DPs
5. La durée de traitement des DPs doit correspondre aux buts pour
lesquels ce traitement est réalisé
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les formes, les principes et la durée du traitement
des données personnelles 4/4
Finalité du
traitement des DPs
Contrat Loi
Durée de
traitement des DPs
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Le transfert transfrontière des DPs 1/3
pays étranger
11
Le transfert
transfrontière
des DPs
personne
morale étrangère personne
physique étrangère
organe étatique
d’un pays étranger
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Le transfert transfrontière des DPs 2/3: les pays
qui assurent la protection suffisante des DPs
12
Les pays
reconnus ‘adéquats’
Les signataires de la
Convention de Strasbourg 1981
(44 pays)
Les pays inclus dans la liste
approuvée par Roscomnadzor
(liste approuvée
le 02.10.2012 )
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Le transfert transfrontière des DPs 3/3
La forme de consentement à obtenir d’une personne physique dépend
du pays où les DPs sont transférées
Pays Forme de
consentement
Signataire de la Convention de Strasbourg de 1981
(Convention du Conseil de l’Europe)
Simple
Non signataire de la Convention de Strasbourg mais
qui assure une protection suffisante des DPs et est
inclus dans la liste approuvée par Roscomnadzor des
pays reconnus comme ‘adéquat’
Simple
Autre pays Forme écrite, certifiée par
la signature authentique ou
électronique
13
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Consentement pour le traitement des données personnelles 1/5
Traitement des DPs
Sans consentement de
la personne concernée
Avec consentement de
la personne concernée
Seulement dans les
cas prévus par la loi
Forme du consentement
Toute forme, permettant
de confirmer l’obtention
du consentement
forme écrite
(DPs sensibles,
DPs biométriques,
flux transfrontières des DPs
dans les états non fiables)
14
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Consentement pour le traitement des données
personnelles 2/5
Le consentement de la personne concernée n’est pas obligatoire:
Dans le cadre d’une action en justice;
Lors de la conclusion et/ou de l’exécution d’un contrat dont la personne
concernée est partie, bénéficiaire, garant;
En matière de protection de la vie, de la santé ou d’autres intérêts d’une
importance vitale, s’il n’est pas possible d’obtenir le consentement de la
personne concernée;
Dans le cadre d’études statistiques ou autres (sous condition de
dépersonnalisation obligatoire des DPs);
Dans l’hypothèse ou l’accès aux DPs est accordé pas la personne
concernée (traitement des DPs publiques);
Dans les autres cas, expressément prévus pas la Loi sur les données
personnelles.
15
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Consentement pour le traitement des données
personnelles 3/5 : forme écrite (qualifiée)
1. Nom, prénom, adresse de la personne concernée (ou de son
représentant) ainsi que les détails de son passeport;
2. Nom et adresse de la personne responsable du traitement des DPs;
3. Nom et adresse de la personne traitant les DPs à la demande du
responsable;
4. Les finalités du traitement des DPs;
5. La liste des DPs qui seront traitées;
6. Les formes de traitement des DPs et les méthodes de traitement;
7. La durée pour laquelle le consentement est octroyé et la procédure de
retrait de ce consentement;
8. La signature de la personne concernée (authentique ou électronique).
16
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Consentement pour le traitement des données
personnelles 4/5: consentement à distance (Internet)
Les exemples d’usage:
o «coche» sous le texte du consentement pour le traitement des DPs
o bouton «lu et approuvé» sous le texte du consentement etc.
Les cas d’usage:
o obtention d’un consentement ‘simple’ (dans l’hypothèse où il n’est pas
nécessaire d’obtenir un consentement écrit ‘qualifié’)
Les conditions d’usage:
Les caractéristiques techniques du site Internet utilisé pour obtenir le
consentement permettent d’identifier la personne concernée (enregistrement sur
le site, envoie d’un e-mail de confirmation etc.).
Les technologies utilisées (serveur) permettent de fixer et de confirmer que le
consentement a été octroyé (liaison sur IP-adresse, logging dans l’espace
personnelle etc.).
17
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Consentement pour le traitement des données
personnelles 5/5: consentement à distance (téléphone)
Les examples d’usage:
o le consentement orale pour le traitement des DPs, octroyé dans le cadre
d’une conversation avec un opérateur de call-center
o un avertissement d’un operateur sur un éventuel enregistrement de la
conversation téléphonique
Les cas d’usage :
o obtention d’un consentement ‘simple’
Les conditions d’usage:
La connexion téléphonique et la conversation permet identifier la personne
concernée
Les technologies utilisées permettent fixer et confirmer le fait que le
consentement a été octroyé (e.g. l’enregistrement de la conversation).
18
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les obligations à accomplir dans le domaine du
traitement des DPs
Nomination au sein de la société d’une personne responsable de
l’organisation du traitement des DPs;
Développement d’une politique et des actes normatifs locaux sur le
traitement et la protection des DPs;
Mise en œuvre des mesures juridiques, organisationnelles et techniques
pour la protection des DPs;
Contrôles internes et (ou) audits externes du traitement des DPs;
Evaluation des dommages susceptibles d’être apportés aux personnes
concernées en cas de violation des règles de traitement des DPs;
Information des employés;
Autres obligations.
19
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Notification sur le traitement des DPs
Forme de notification
20
Sous forme papier
Sous forme électronique
Roscomnadzor
Introduction dans le registre des informations:
1) mentionnées dans la notification
2) sur la date de la notification
30 jours
255 426
sociétés de
traitement
enregistrées
Date ultime de
dépôt de la
notification
01.01.2013
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
La pratique de Roscomnadzor 1/3 : fondements
juridiques des contrôles
21
CONTROLES
Hors plan Réguliers
Responsables du
traitement des DPs ,
enregistrés
Responsables du
traitement des DPs ,
non inclus dans le registre
• expiration du terme d’exécution d’une prescription,
• plaintes des personnes concernées,
• ordre du responsable de Roscomnadzor,
• violation des droits et intérêts des citoyens par
le responsable du traitement des DPs
Le plan annuel
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
La pratique de Roscomnadzor 2/3 : les contrôles
Sont vérifiés dans le cadre d’un contrôle:
1. La notification sur le traitement des DPs;
2. Les documents liés à des infractions ayant fait l’objet de plaintes par
personnes concernées;
3. Les documents qui prouvent que les infractions on été éliminées;
4. Les consentements écrits des personnes concernées;
5. Les documents prouvant la conformité aux normes établies par la loi du
traitement des DPs sensibles;
6. Les documents prouvant la destruction des DPs dès que les finalités pour
lesquelles elles ont été traitées sont atteintes;
7. Les règlements locaux établissant la procédure de traitement des DPS.
22
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
La pratique de Roscomnadzor 3/3: les chiffres
23
Les sanctions: 762 prescriptions ont été émises;
2897 protocoles sur les infractions ont été dressés;
2392 décisions rendues par les tribunaux (dont 2376 maintenues en vigueur)
Au titre de ces infractions: des amendes d’un montant 4,3 mln RUB ont été infligées sur
lesquelles 1,9 mln. RUB a déjà été perçu
L’activité de contrôle de Roscomnadzor
746 contrôles (dont 446
contrôles planifiés et 300
contrôles hors plan) ont été
effectués durant les 6 premiers
mois de 2012.
721 infractions dans le domaine
du traitement des DPs
identifiées.
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Sanctions 1/3: la législation actuelle
Code des infractions administratives (CoAP):
• Article 13.11 – Violation de la procédure prévue par la loi pour la collecte,
stockage, usage ou distribution des informations sur les citoyens (les
données personnelles)
Sanction:
avertissement
amende:
personnes physiques: de 300 à 500 RUB;
responsables au sein d’une personne morale: de 500 à 1000 RUB;
personne morales: de 5 000 à 10 000 RUB.
NB: Le paiement d’une amende ne dispense de l’obligation d’éliminer les
infractions commises en conformité des prescriptions de Roscomnadzor
24
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Sanctions 2/3: le projet de modifications du CoAP
La classification des infractions et des sanctions proposées:
non-exécution des obligations sur la protection des données personnelles: pour
les personnes morales - amende de 20 000 à 30 000 RUB;
traitement des données personnelles sans le consentement de la personne
concernée: pour les personnes physiques – amende de 30 000 à 50 000 RUB,
et dans certains cas une amende équivalente à 1,5-2% des revenus, avec un
minimum de 400 000 à 700 000 RUB (en fonction des circonstances de
l’infraction),
traitement illégal des donnés personnelles sensibles: pour les personnes
morales - amende équivalente à 1,5-2% des revenus, avec un minimum de
400 000 à 700 000 RUB (en fonction des circonstances de l’infraction),
violation des conditions pour le transfert transfrontière des données
personnelles: pour les personnes morales - amende de 20 000 à 30 000 RUB,
et dans certains cas, une amende équivalente à 1,5-2 des revenus, avec un
minimum de 500 000 à 700 000 RUB (en fonction des circonstances de
l’infraction).
25
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Sanctions 3/3: les défauts du projet de CoAP
o Les sanctions prévues pour la commission de l’infraction et non
pour le dommage subit (à la différence de la législation
européenne);
o Aucun moyen de procédure pour le règlement des différends
directement entre la personne en charge du traitement des DPs et
la personne concernée (y compris la réparation des dommages);
o Disproportion entre les consequences de l’infraction et l’importance
de la sanction;
o Description insuffisante des caractéristiques des infractions.
26
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
A faire dans un premier temps
développer la politique de traitement des DPs et la mettre en ligne;
développer la documentation interne sur le traitement des DPs;
nommer une personne responsable pour le traitement des DPs;
déterminer la liste des personnes ayant accès aux DPs;
notifier Roscomnadzor (avant le 01.01.2013);
introduire des dispositions sur le traitement des DPs dans les contrats
avec les partenaires;
formaliser les relations avec les sous-traitants dans le domaine du
traitement des DPs. 27
Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Merci pour votre attention!
28
Anastasiya Lemysh
Avocat à la Cour
CMS, Russie
T: +7 495 786 3076 E: [email protected]
CMS, Russie
11, bvd. Gogolevsky 119019 Moscou
Т +7 495 786 4000 F +7 495 786 4001 www.cmslegal.ru