perspectives sur le droit des donnees
TRANSCRIPT
August, 2010Thème: droit des données Octobre 2015
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
Agenda
Introduction Cadre Juridique International et Européen Les aspects transfrontaliers des infractions à la vie privée par la
surveillance de masse de la part des agences étatiques Conclusion
Droit des NTIC | Octobre 2015
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
Introduction: Définitions
Larousse: Donnée Ce qui est connu et admis, et qui sert de base, à un raisonnement, à un examen ou à une recherche.
Données personnelles Les "données personnelles" représentent toutes les informations concernant la vie privée,
professionnelle ou publique d'un individu. Il peut s'agir d'un nom, d'une photo, d'une adresse email, de données bancaires, de commentaires sur les réseaux sociaux, d'informations médicales ou de l'adresse IP de l'ordinateur de la personne concernée.
Loi Informatique et Libertés « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement
ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui sont propre à son identité physique, physiologique, psychique, économique, culturelle ou sociale»
La vie privée Un concept relativement récent d’un point de vue aussi bien sociologique que juridique. Formalisée pour
la première fois dans un article de 1890 de Brandeis et Warren dans le Harvard Review « Right to Privacy »
Droit des NTIC | Octobre 2015
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
Etablir un équilibre entre le droit à la vide privée et le légitime besoin de tiers (entreprises, administrations) de traiter des informations concernant cette personne.
Imposer des limites à la surveillance – ex. Google: 20 000 Térabits de données traités / jour
Etablir une confiance dans le numérique – 63% des français ne sont pas prêts à sacrifier une partie de leur vie privée pour plus de facilité, notamment
lorsqu'ils utilisent Internet (EMC privacy Index)– 80 % des Français ne croient pas à la confidentialité de leurs données personnelles sur Internet (Syntec’13)
Marché des données estimé à + 1 milliard de milliards pour l’Europe
En France le droit à la vie privée se range parmi les droits de la personnalité supposés inaliénable (qui ne peut être cédé, tant à titre gratuit qu'onéreux, ni grevé de droits réels)
Introduction: Pourquoi réglementer la protection des données personnelles?
Droit des NTIC | Octobre 2015
Identité personnelle
Respect de la vie privée Droits à l’image
Droit des Données Personnelles
Droit de la personnalité
Figure 1. De l’identité personnelle à l’identité numérique Figure 2. Visualisation des cookies en temps réel lors de navigation sur internet (CookieViz)
Identité numérique
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
Introduction: Quelles sont les alternatives à la réglementation?
Droit des NTIC | Octobre 2015
REGLEMENTATION
AUTOREGULATION
Normes européennes
Loi, Décret, réglement
Normes edictées par la CNIL
Normes Internationales
Contrat intégrant des obligations légales
Binding corporate rules
Privacy Enhancing Technologies
SoftLaw
Privacy by Design
Corregulation
Labellisation par la CNILAvis de conformité délivré par la CNIL
Accountability« obligation de rendre
des comptes »
Responsabilité contractuelle
Déontologie
Code de conduite purement privé
Chartes
Privacy (1)
(1) 4e Amendement de la Constitution des Etats Unis, « Right to be let alone » Thomas Cooley (1888),
Fig 3. De la règlementation à l’auto-régulation
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
Agenda
Introduction Cadre Juridique Européen
Grands principes et évolution du cadre juridique européen La loi Informatique et Libertés le GDPR
Les aspects transfrontaliers des infractions à la vie privée par la surveillance de masse de la part des agences étatiques
Conclusion
Droit des NTIC | Octobre 2015
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
Grands principes et évolution du droit européen 1950 - 2009Convention 108
1981
Art 8. « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance »
1950Droit d’accès, de modification et d’opposition
Convention EU de sauvegarde des droits de l’H et des libertés fondamentales
Finalité du traitement
Information et consentement Qualité des données Sécurité des données
Limitation de la durée de conservation
Directive 95/46
Collectées pour des finalités déterminées explicite et légitimes; adéquates, pertinentes et non excessives
1995
Collecte interdite sauf exception
Protection des données sensibleLimitation de l’exportation
Sous-traitant celui-ci doit apporter les garanties suffisantes
autorisé que si celui-ci assure le niveau adéquat de protection des données – USA « Safe Harbor »
Obligation de recueil de consentement
Droits pour la personne concernée
Contrôle et responsabilité:Autorité de contrôle, des formalités, recours et des sanctions
Elles peuvent être conservées plus longtemps si elles sont anynonimisées
Opposition gratuite
Directive 02/58
Sécurité du réseaux: Informer les utilisateur en cas de violation
Prospection commerciale: Impose le principe d’obtention du consentement préalable à toute prospection automatisée
Conservation des données de connexion et de localisation: entre 6 mois et 2 ans
Directive 09/135 « Paquet Télécom »« Communications
Électroniques » 2002 2009
protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des personnes
la protection des personnes à l’égard du traitement automatisé des données à caractère personnel
Obligation de notification des violations de sécurité
Cookies: n’est autorisé que si l’utilisateur a donné sont accord- Opt-In / Opt-Out
Droit des NTIC | Octobre 2015
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
Grands principes et évolution du droit européen (mise à jour Oct 2015)Législations nationales en matière de droit de données personnelles
Par décision de la Cour de Justice de l’Union Européenne du 06 Octobre 2015 (affaire C-362/14), le mécanisme d’adéquation " Safe Habor " permettant le transfert de données vers les entreprises adhérentes aux Etats-Unis a été invalidé.
2013
2015
Droit des NTIC | Octobre 2015
La CJUE a donné raison à un internaute autrichien, Max Schrems, qui s'opposait au transfert de ses données récoltées par Facebook vers les Etats-Unis.
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
La Loi Informatique et Libertés (6 janvier 1978)
TYPE DE TRAITEMENT CONCERNÉS
CHAMP TERRITORIAL
OBLIGATION D’INFORMATION DE LA PERSONNE CONCERNÉE
OBLIGATION DE RECUEIL DU CONSENTEMENT DE LA PERSONNE CONCERNÉE
DROIT D’ACCÈS AUX DONNÉES
DROIT DE RECTIFICATION
DROIT D’OPPOSITION
DISPOSITIONS CONCERNANT LES DONNÉES
INTERDICTION DE TRAITEMENT DE DONNÉES SENSIBLE
RÉUTILISATION DES DONNÉES POUR D’AUTRES TRAITEMENTS
OBLIGATION DE SÉCURISATION: Obligation de moyens et non de résultats
OBLIGATION DE NOTIFICATION DE VIOLATIONS DE SÉCURITÉ DEPUIS 2011
EXPORTATION DE DONNÉES PERSONNELLES HORS UE
• La loi s’applique aux traitements dont le responsable est soit établi sur le territoire français soit établi hors UE mais ayant recours à des moyens de traitement localisés en France.
• Application de la loi française aux services web établis hors UE
• Google: les serveurs de Google.fr se situe en Californie et Google France n’étant qu’un représentant commercial et non le responsable du traitement, c’est le droit californien qui s’applique
• Pour appliquer la directive 95/46 le G29 estime que parmi « les moyens de traitement » on peut inclure les traitement logiciels et notamment les cookies élaborés sous le contrôle du prestataire de service mais sur l’ordinateur de l’internaute.
• « s’applique aux traitements automatisés de données à caractère personnel, ou non automatisés appelés à figurer dans des fichiers »
Droit des NTIC | Octobre 2015
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
Projet de règlement européen sur les données personnellesou General Data Protection Regulation GDPR
Modifie en profondeur l’organisation légale en Europe
1. Grands principes
Droit à l’oubli (entre liberté d’expression et devoir de mémoire)
Principe du minima: a priori les données sont utilisées de manière anonyme
La portabilité des données : possibilité de retrait des données
Privacy by Design: Mettre en place des principes de respect de la vie privée dès la conception
2. Accountability: l’obligation de preuve contre la suppression des formalités (plus de
contrôle)
Un délégué à la protection des données pour s’assurer de la conformité aux lois européennes
Etudes d’impact des risques
3. Obligation de notification des failles de sécurité dans les 24hrs
4. CIL 2.0 : Rôle de conseiller et contrôleur (auditeur)
5. Amendes entre 1M€ et 100M€ (encore à définir)Droit des NTIC | Octobre 2015
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
Agenda
Introduction Cadre Juridique Européen
Grands principes et évolution du cadre juridique européen La loi Informatique et Libertés le GDPR
Les aspects transfrontaliers des infractions à la vie privée par la surveillance de masse de la part des agences étatiques
Conclusion
Droit des NTIC | Octobre 2015
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
Les aspects transfrontaliers des infractions à la vie privée par la surveillance de masse de la part des agences étatiques
1. Les infractions transfrontalières contre la vie prive à l’échelle européenne A) Apports de la Cour Européenne des droits de l’homme (CEDH) et CJUE
L’ingérence d’un autorité publique dans l’exercice du droit à la vie privée peut être nécessaire dans une société démocratique dans les cas de sécurité nationale, du bien-être économique du pays, de la défense de l’ordre public et de la prévention des infractions pénales.
Des règles claires et détaillées en matière d’interception des conversation téléphonique sont indispensable cf Affaire Liberty (Ovt 2008): British Irish Rights Watch et le conseil irlandais des libertés civiles contestaient une disposition du droit britannique par laquelle le MoD avait mis en place à Caoenhurst une dispositif de contrôle électronique capable d’intercepter 10 000 communications téléphoniques émise depuis Dublin vers Londres
En Avril 2014 la CJUE invalide de manière intégrale la directive 2006/24/CE sur la conservation des données à caractère personnel et prohibe ainsi toute surveillance de masse, Affaire Digital Rights Ireland Ltd & Michael Seitlinger e.
B) Apports de l’Union Européenne TFUE de 2007 Art 16. Toute personne a droit à la protection des données à caractère
personnel la concernant. Directive 95/46: Pays tiers autorisés & la « sphère de sécurité » du Safe Harbor
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
Les aspects transfrontaliers des infractions à la vie privée par la surveillance de masse de la part des agences étatiques
2. Les infractions transfrontalières contre la vie privée à l’échelle universelle A) Pacte International des Droits Civils et Politiques (1966) B) ONU
Rés. de l’AG n°45/95 sur les fichiers de données personnelles informatisés du secteur public et privé et des org. internationales (14 decembre 1990)
Dec 2013 L’assemblée générale ONU a adopté une résolution reconnaissant « le droit à la vie privée à l’ère numérique »
C) Le droit interne des Etats-Unis Initialement la Constitution des Etats Unis ne reconnaissant pas le droit à la vie privée, cette
notion a été par la suite introduite dans le 4eme Amendement. 1972, Après l’affaire du Watergate une loi contre la surveillance des agences étatiques a été
introduite sous le nom de Privacy Act. Une autre loi Foreign Intelligence Surveillance Act (1978) a autorisé la collecte de données ne provenant pas du territoire américain.
Après le 11 Septembre 2001, l’USA Patriot Act a élargi l’extension de collecte de données aux Etats Unis surtout aux personnes qui n’ont pas la citoyenneté américaine
En 2008 le Foreign Intelligence Surveillance Act Amendment a ajouté l’autorisation de surveillance de masse pour les données concernant les pers en dehors des Etats-Unis.
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
Agenda
Introduction Cadre Juridique Européen
Grands principes et évolution du cadre juridique européen La loi Informatique et Libertés A venir: le GDPR
Les aspects transfrontaliers des infractions à la vie privée par la surveillance de masse de la part des agences étatiques
Conclusion
Droit des NTIC | Octobre 2015
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
Conclusions
"We're trying to figure out what the future of search is," Mr. Schmidt acknowledges. "I mean that in a positive way. We're still happy to be in search, believe me. But one idea is that more and more searches are done on your behalf without you needing to type.“
"I actually think most people don't want Google to answer their questions," he elaborates. "They want Google to tell them what they should be doing next.“
Droit des NTIC | Octobre 2015
Google and the search for the future - Eric Schmidt, Google's CEO, 14 aout 2010
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
www.alcatel-lucent.comMerci Questions & Réponses
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
Grands principes de la Convention 108 du Conseil de l’Europe (28 janvier 1981)
Droit d’accès, de modification et d’opposition : Toute personne physique a le droit d’obtenir du « maitre du fichier »
les données le concernant er de les faire le cas échéant effacer, rectifier ou compléter
Finalité du traitement: Un traitement de données doit avoir une finalité explicite et préalable; les données recueillies ne peuvent
ensuite être utilisée pour une autre finalité
Information et consentement: Toute personne physique doit être informée que ses données vont faire l’objet d’un traitement
dans une finalité donnée et ce traitement ne peut avoir lieu sans son consentement
Qualité des données: Les données traitées doivent être exacte compètes et à jour
Sécurité des données: Des mesures de sécurité appropriées doivent être prises pour empêcher l’altération, la destruction l’accès
ou la divulgation non autorisés
Limitation de la durée de conservation: les données ne peuvent être conservées que pendant la durée nécessaire de
traitement
Protection des données sensible: le traitement de données (origine raciale, opinions politique, religion, etc) fait l’objet de
mesures particulières
Limitation de l’exportation: Les données ne peuvent être exportées dans un pays donnant un niveau de protection comparable
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
La Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des personnes
Règles concernant les données
Qualité des données: « traitées loyalement et licitement »; collectées pour des finalités déterminées explicite et légitimes; ;
adéquates, pertinentes et non excessives au regard de ces finalités; exactes et à jour; conservées pendant une durée n’excédant pas
celle nécessaire à la finalité; elles peuvent être conservées plus longtemps si elles sont anynomisées, c’est-à-dire que tout lien entre
une donnée et la personne est éffacée
Données sensibles: Le traitement de certaines catégories de données (origine raciale, opinions politique, syndicales,
philosophiques, religieux, santé, sexualité) est interdit sauf exception. Le traitement de infractions et condamnations pénales ne peut
être effectué que sous le contrôle de l’autorité publique.
Obligation de sécurité: Le responsable du traitement doit mettre en œuvre les mesure techniques et organisationnelles
appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, l’altération , la diffusion ou l’accès
non autorisé. Lorsque le traitement est confié à un sous-traitant celui-ci doit apporter les garanties suffisantes quand aux mesures de
sécurité et s’engager contractuellement à les mettre en œuvre.
Exportation de données: l’exportation vers un pays tiers n’est autorisé que si celui-ci assure le niveau adéquat de protection
des données
Pays autorisés: Suisse, Canada, Argentine, Norvège, Islande, Nouvelle Zélande, Andorre, Liechtenstein ainsi que Jersey, Gernesey, Isle de Man
Pour les Etats Unis seul les transferts vers des entreprises ayant adhéré au dispositif de « Safe Harbor » sont autorisés
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
La Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des personnes
Quels droits pour la personne concernée?
Obligation de recueil et de consentement: que si la personne concernée a « indubitablement » donné son
consentement; si le traitement est nécessaire à l’intérêt vital de la personne, ou si le traitement est nécessaire à l’exécution d’un contrat
signé par la personne; ou si le traitement répond à une obligation de service public; ou si le traitement est nécessaire à la réalisation de
l’intérêt légitime du responsable du traitement
Droit à l’information: lorsque sont collectées des données la concernant; une personne doit être informée: de l’identité du
responsable du traitement, de la finalité du traitement ou destinataires des données, du caractère facultatif ou obligatoire, de
l’existence de son droit d’accès et de modification
Droit d’opposition: toute personne a le droit de s’opposer gratuitement au traitement à des fins de prospection de données la
concernant (ex Spam)
Contrôle et responsabilité
Instauration d’une autorité de contrôle
Formalités
Recours, responsabilité sanctions x
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (1/6)Historique
Fichier SAFARI du Ministère de l’intérieur créer un scandale La loi de 1978 a été rédigée dans une optique de contrôle des fichiers centraux,
principalement de l’Etat. La directive européenne de 95 apporte un cadre plus large concernant aussi
bien l’administration que le secteur privé. La transposition en 2004 modifie la loi sur les points suivants:
Prise en compte dans l’application de la loi des fichiers manuels, des sons et des images; à l’exception de la vidéo surveillance pour la sécurité publique
Renforcement des pouvoir de contrôle a postériori de la CNIL Égalité de traitement entre secteur public et privé, sauf pour les domaines de la
souveraineté qui ne relève pas de la compétence de l’Union Européenne Distinction entre le transfert de données interne à l’union européen et ceux à destination
des Etats Tiers qui ne devient possible que si l’Etat destinataire assure un niveau de protection adéquat
Objectif moral
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (2/6)Définitions
Définit une donnée à caractère personnel Traitement des données et fichier
« constitue un traitement de données à caractère personnel toute opération portant sur de telles donnés quelque soit le procédé utilisé et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition »
« Constitue un fichier de données à caractères personnel tout ensemble structuré et stable de données à caractères personnel accessible selon des critères déterminés »
Personne concernée par le traitement Responsable du traitement vs sous-traitant uniquement soumis à une obligation
contractuelle Destinataire des données
Permet de prouver à la CNIL que seules les personnes ayant un intérêt légitime peuvent accéder aux données.
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (3/6)Champ d’application de la loi
Type de traitement concernés « La présente loi s’applique aux traitements automatisés de données à caractère personnel,
ou non automatisés appelés à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activité exclusivement personnelles »
– Le répertoire personnel n’est pas à déclarer à la CNIL par ex.– Le simple fait d’utiliser un ordinateur ne constitue pas un traitement automatisé de données
personnelles
Champ territorial La loi s’applique aux traitements dont le responsable est soit établi sur le territoire français
soit établi hors UE mais ayant recours à des moyens de traitement localisés en France. Application de la loi française aux services web établis hors UE
– Google: les serveurs de Google.fr se situe en Californie et Google France n’étant qu’un représentant commercial et non le responsable du traitement, c’est le droit californien qui s’applique
– Pour appliquer la directive 95/46 le G29 estime que parmi « les moyens de traitement » on peut inclure les traitement logiciels et notamment les cookies élaborés sous le contrôle du prestataire de service mais sur l’ordinateur de l’internaute.
– Le G29 estime qu’un moteur de recherche qui vend de la publicité induite par des données à caractère personnel et en analysant le comportement de l’internaute afin de lui proposer des bannières publicitaires ciblées est également soumis au droit local.
– Retournement de la jurisprudence: suite à la demande de suppression dans le moteur de recherche de résultat à deux requête contenant le nom d’une personne et se référant à une vidéo qui se retrouvait diffusée sans le consentement de la personne (TGI Montpellier 2010)
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (4/6)Obligations prévues par la loi
Obligation d’information de la personne concernée Art.32 « la personne auprès de laquelle sont recueillies des données à caractère
personnel la concernant est informée sauf si elle l’a été au préalable par le responsable du traitement ou son représentant. »
Règles pour les cookies Cookies: Fichiers permettant de conserver une trace des actions de l’utilisateur du
terminal sur cette application Art 32 « Tout abonné ou utilisateur d’un service de communications électroniques doit
être informé de manière claire et complète » En pratique pour éviter d’avoir à donner son consentement pour chaque lien ce qui
deviendrait insupoportable pour l’utilisateur, l’accord peut être matérialisé via le paramétrage. C’est donc en configurant son navigateur que l’utilisateur pourra matérialiser un OPT-IN général
Obligation de recueil du consentement de la personne concernée Art 7 « Un traitement de données à caractère personnel doit avoir reçu le consentement
de la personne concernée ou satisfaire des conditions spécifiques (légal, sauvegarde de la vie, mission de service pubic, exécution d’un contrat, intérêt légitime poursuivi par le responsable du traitement)
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (5/6)Obligations prévues par la loi Droit d’accès aux données
Toute personne peut demander à un responsable de traitement si des données la concernant sont traitées et obtenir des informations sur le traitement, ainsi qu’une copie sous forme intelligible des données la concernant et toute information disponible sur leur origine.
Droit de rectification Toute personne peux exiger que les données la concernant soient rectifiées, complétées ou mise à jour
Droit d’opposition Son exercice n’est possible de façon générale que pour motif légitime.
Il faut alors justifier de la légitimité de sa demande ce qui entre en conflit avec le droit reconnu du responsable du traitement de la même loi de se passer du consentement des personnes concernées si cela est nécessaire à la réalisation de son intérêt légitime
Dispositions concernant les données Sont collectées et traitée de manière loyale et licite
Sont collectées pour des finalités déterminées explicites et légitimes
Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées
Elles sont exacte, complète et si nécessaire mis à jour
Limitation de la durée de conservation « droit à l’oubli »
Alcatel-Lucent – InternalProprietary – Use pursuant to Company instruction.
La Loi Informatique et Libertés (6 janvier 1978) et la CNIL (6/6)Obligations prévues par la loi Interdiction de traitement de données sensible
Qui font apparaître directement ou indirectement les origines raciales, ethniques, les opinions politiques, philosophiques ou religieuses ou d’appartenance syndicale des personnes ou qui sont relative à la santé ou à la vie sexuelle de celle-ci
Exceptions: Etudes statistiques, Recherche
Figure également celle qui peuvent être traitées que sur autorisation de la CNIL au titre de l’art 25: – Données comprenant le numéro d’inscription des personnes au répertoire national d’identification
des personnes physiques; « numéro de sécurité sociale »– Données comportant des appréciations sur les difficultés sociales des personnes– Données biométriques nécessaire au contrôle des personnes
Réutilisation des données pour d’autres traitements Le principe est qu’on ne réutilise des données collectées dans un but précis, toutefois l’art 36 a
prévu qu’il peut être procédé à un traitement ayant des finalités nouvelles soit– Avec l’accord de la personne, de la CNIL, ou pour la recherche notamment pour la santé ou pour le
traitement d’intérêt public
Obligation de sécurisation Obligation de moyens et non de résultats
Obligation de notification de violations de sécurité depuis 2011
Exportation de données personnelles hors UE