14
E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012 Traitement des données à caractère personnel et circulation de ces données au sein d’E-Justice : quelle(s) réglementation(s), quel(s) outils au sein de l’Union ? Nathalie Métallinos, Avocat Bird & Bird AARPI, Responsable de l’atelier ADIJ « Protection des données personnelles » [email protected] Le projet de règlement Européen

E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

  • Upload
    kamea

  • View
    26

  • Download
    0

Embed Size (px)

DESCRIPTION

Le projet de règlement Européen. E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012 Traitement des données à caractère personnel et circulation de ces données au sein d’E-Justice : quelle(s) réglementation(s), quel(s) outils au sein de l’Union ?. - PowerPoint PPT Presentation

Citation preview

Page 1: E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

E-Justice, Droit et Justice en réseaux dans l’ Union Européenne

vendredi 23 novembre 2012

Traitement des données à caractère personnel et circulation de

ces données au sein d’E-Justice : quelle(s) réglementation(s), quel(s) outils

au sein de l’Union ?

Nathalie Métallinos, Avocat Bird & Bird AARPI, Responsable de l’atelier ADIJ « Protection des données personnelles »[email protected]

Le projet de règlement Européen

Page 2: E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

Page 2© Bird & Bird LLP 2012

Le nouveau règlement a vocation à remplacer les règles actuelles posée par la Directive 95/46 et harmoniser le cadre européenLe règlement est directement applicable

Adoption prévue en 2014, entrée en vigueur : 2016

Harmonisation partielle en dépit de l’instauration d’un mécanisme de cohérence

1) Projet de Directive Police-Justice (ex-3èle pilier)

2) Conséquence nationale résiduelle:

• Condamnations pénales (Art 9)• Prévention des infractions (A. 21)• Journalisme (A.80)• Santé (A.81)• Emploi (A.82)• Recherches statistiques et

historiques (A.83)• Secret professionnel (A.84)• Eglises (A.85)

Extrême complexité du texte

91 articles/90 pages + 139 considérants + renvoi à plus de 50 actes délégués (contre 34 articles, 72 considérants pour la directive 95/46)

Page 3: E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

Page 3© Bird & Bird LLP 2012

Plan

1. Nouvelles règles de compétence des autorités

2. Obligation de prouver la conformité

3. Nouvelle définitions des traitement « à risques »

4. Régime des sanctions

5. Obligation de désigner un délégué des données personnelles

6. Notification des « violations de sécurité

7. Renforcement des droits des personnes

8. Transferts de données – reconnaissance des “Règles internes d’entreprises” et simplifications

Page 4: E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

Page 4© Bird & Bird LLP 2012

1. Nouvelles règles de compétence des autorités :dépend du lieu de l’établissement principal (Art. 51 & 4, 13)Responsable des traitements Sous-traitant

Lieu où sont prises les principales décisions ou à défaut

Lieu de l’administration centrale

Lieu où sont exercées les “principales activités de traitement”

Page 5: E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

Page 5© Bird & Bird LLP 2012

1.1 Les limites de la règle du guichet unique

Compétence exclusive de l’autorité du principal établissement pour

• Formalités

• Supervision du groupe

Conjointe si des individus situés dans d’autres Etats membres sont concernés

Individus pouvant saisir l’autorité de leur droit

Individus pouvant exercer un recours dans les états membres

Mécanisme de cohérence – rôle du CEPD

Exigences droit local (droit du travail, dérogations, ..)

Page 6: E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

Page 6© Bird & Bird LLP 2012

2. Les traitements « à risques » (Art.33 et 34)

Notamment :

•Profils automatisés…   « systématiques » ou « à grande échelle »

•vidéosurveillance …« à grande échelle »

•données sensibles (dont condamnations) données relatives aux mineurs, données génétiques ou biométriques

Mais aussi :

• ceux identifiés comme présentant des risques (rôle de l’étude d’impact)

•Ceux listés par l’autorité de contrôle

•Ceux qui seront prévus dans les actes délégués

Page 7: E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

Page 7© Bird & Bird LLP 2012

3: Nécessite de prouver la conformité (Art 5-f)

Tenue de la documentation (Art.28)

“Privacy by design” (Art. 23)

Etudes d’impact (Art.33)

Audit (Art.22)

Maintien de la documentation relative aux traitements (remplace formalités)

Mesures et procédures appropriées pour assurer conformité (en particulier s’agissant de la minimisation), protection par défaut / dès la conception

Pour les traitements “à risques”

Règles internes et audit indépendant

Page 8: E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

Page 8© Bird & Bird LLP 2012

4: Des sanctions qui se veulent dissuasivesExemple de manquements Amende (% du CA

mondial)

Absence de mécanismes permettant l’exercice droit d’accès ou insuffisance de la réponse

0.5%

Manque de transparence, défaut de respect des droits des personnes, défaut de tenue de la documentation

1%

Défaut de base légale pour traiter les données

Non prise en compte du droit d’opposition

Défaut de notification des failles de sécurité

2%

Page 9: E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

Page 9© Bird & Bird LLP 2012

5. Obligation de désigner un délégué des données personnelles (art.35) (y compris dans le secteur public)

Peut êtremutualisé

Indépendant

Absence deConflit d’intérêt

Peut êtreexternalisé

Expertiseprofessionnelle

Durée minimalede 2 ans

CIL

• Seuil de 250 employés

ou

• Activités exigeant un « suivi régulier et systématique des individus »

Page 10: E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

Page 10© Bird & Bird LLP 2012

6. Notification des « violations de sécurité » (Art. 31)Toute violation de sécurité conduisant à la perte, accidentelle ou illicite, ou l’altération des données personnelles ou un accès / une communication non autorisés

Notification à l’autorité de contrôle

Toute faille doit être notifiée dans les 24 heures de la découverte

Notification aux individus

• Si susceptible de porter atteinte à la protection des données personnelles/vie privée

• Sans retards indu• Non requis si mesures de

protection technologiques appropriées

Conservation de traces documentaires de la violation

Sanction maximum (Arts. 31 – 32, Considérants 67 – 69)

Page 11: E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

Page 11© Bird & Bird LLP 2012

7. Renforcement des droits des personnes (tenir compte des problématique propres à internet – mais concerne aussi le “hors ligne”)● Droit à l’oubli/effacement● Portabilité des données ● Droit d’opposition aux mesures de profilage ● Droit à réclamation auprès de l’autorité de contrôle, droit à

un recours juridictionnel, Droit à réparation + étendu à des organismes/associations œuvrant à la protection des personnes

● Condition de consentement (ne vaut si « déséquilibre significatif »)

● Traitement des données relatives aux enfants● Extension aux sous-traitants de la responsabilité du fait des

traitements

Page 12: E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

Page 12© Bird & Bird LLP 2012

8: Transferts de données – reconnaissance des “Règles internes d’entreprises” et simplifications● Principe d’adéquation (vise également les organisation

internationales et les secteurs de traitement)

● BCR reconnus dans le règlement et étendus pour couvrir données traitées pour le compte de clients (BCR sous-traitants)

● Clauses contractuelles type - y compris ad hoc (sous réserve d’approbation)

● Transferts basés sur l’intérêt légitime(sous réserve de formalité auprès de l’autorité de contrôle

● Transferts exclusivement destinés à reporter à des obligations issues de législations étrangères (hors UE) – principe d’interdiction

Page 13: E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

Page 13© Bird & Bird LLP 2012

Questions & discussion?

Page 14: E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012

Thank you

Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses.

Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC340318 and is regulated by the Solicitors Regulation Authority. Its registered office and principal place of business is at 15 Fetter Lane, London EC4A 1JP. A list of members

of Bird & Bird LLP and of any non-members who are designated as partners, and of their respective professional qualifications, is open to inspection at that address.

www.twobirds.com

[email protected]