Upload
others
View
11
Download
0
Embed Size (px)
Citation preview
LA NOUVELLE RÉGLEMENTATION EUROPÉENNE
EN MATIÈRE DE DONNÉES PERSONNELLES :
PRINCIPALES ÉVOLUTIONS ET
EXIGENCES ASSOCIÉES
Alexandra Mendoza-Caminade
Professeur de droit privé
Centre de Droit des Affaires
1
Les enjeux:
« Data drives all we do »(« Les données déterminent tout ce que nous faisons »)
Traçage sur internet
Profilage sur internet – Cambridge Analytica/ Facebook
Traçage par RFID
Traitements des données biométriques
Usages de l’adresse IP
Recoupements et analyses de grands volumes de données :
problématique des BIG DATA (anonymat?)
2
Présentation
L’adoption du règlement
Champ d’application
Les notions
Les principes
Les droits des individus
Les obligations des acteurs
Les sanctions
3
Liste chronologique des sources
Loi du 6 janvier 1978 (LIL 1)
Directive du 24 octobre 1995
Loi de transposition du 6 août 2004 (LIL 2)
Directive du 12 juillet 2002
Directive du 15 mars 2006
Réforme de l’UE 2016
Projet de loi du 17 décembre 2017 (LIL 3)
4
Règlement (UE) 2016/679 du 27 avril 2016
dit RGPD
Entrée en vigueur 25 mai 2018
Réforme globale des règles pour:
adapter la loi aux pratiques numériques
renforcer la protection et la maîtrise des citoyens sur leurs
données
permettre le développement de l’économie numérique en
Europe et la libre circulation des données au sein de l’UE
volonté d’harmoniser et simplifier les règles
réduire les coûts grevant les entreprises
5
Changement de logique :
responsabilisation des acteurs
Suppression des contraintes administratives a priori pesant
sur le responsable du traitement (suppression des obligations de
déclaration)
Renforcement a posteriori de sa responsabilité
Responsabilité renforcée = responsabilité globale
Obligation de prévoir la protection des données dès la
conception du traitement (privacy by design / privacy by default)
Etudes d’impacts, registre des activités de traitement
= mise en place de procédures internes
6
1- Champ d’application
Champ d’application matériel :
s'applique au traitement de données à caractère
personnel, automatisé en tout ou en partie, ainsi
qu'au traitement non automatisé de données à
caractère personnel contenues ou appelées à figurer
dans un fichier.
7
Champ d’application territorial :
traitement de données effectué dans le cadre des activités
d'un établissement d'un RT ou d'un ST sur le territoire de
l'UE, que le traitement ait lieu ou non dans l'UE
traitement de données relatives à des personnes qui se
trouvent sur le territoire de l'UE par un RT ou un ST non établi
dans l'UE, lorsque les activités de traitement sont liées :
à l'offre de biens ou de services à ces personnes concernées
dans l’UE, qu'un paiement soit exigé ou non desdites personnes,
ou
au suivi du comportement de ces personnes, dans la mesure où
il s'agit d'un comportement qui a lieu au sein de l'UE
8
Donnée à caractère personnel
• toute information se rapportant à une personne physique
identifiée ou identifiable; est réputée être une «personne
physique identifiable» une personne physique qui peut être
identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu'un nom, un numéro
d'identification, des données de localisation, un identifiant en
ligne, ou à un ou plusieurs éléments spécifiques propres à
son identité physique, physiologique, génétique, psychique,
économique, culturelle ou sociale (RGPD art. 4, 1)
• Prise en compte de toutes les traces techniques laissées en
ligne (considérant 30)
9
Précisions sur certaines données
Données sensibles: qui révèlent l’origine raciale ou ethnique
des personnes, leurs opinions politiques, leurs convictions
religieuses ou philosophiques, leur appartenance syndicale,
leur santé et leur vie sexuelle.
Données concernant la santé
données à caractère personnel relatives à la santé physique ou
mentale d'une personne physique, y compris la prestation de
services de soins de santé, qui révèlent des informations sur
l'état de santé de cette personne
Données génétiques
Données biométriques
10
Traitement
Toute opération ou tout ensemble d'opérations effectuées ou
non à l'aide de procédés automatisés et appliquées à des
données ou des ensembles de données à caractère
personnel, telles que la collecte, l'enregistrement,
l'organisation, la structuration, la conservation, l'adaptation ou
la modification, l'extraction, la consultation, l'utilisation, la
communication par transmission, la diffusion ou toute autre
forme de mise à disposition, le rapprochement ou
l'interconnexion, la limitation, l'effacement ou la destruction.
(RGPD art. 2, 1)
Pseudonymisation = mesure de sécurité (≠ anonymisation)
11
12
Fichier
tout ensemble structuré de données à caractère personnel
accessibles selon des critères déterminés, que cet ensemble
soit centralisé, décentralisé ou réparti de manière
fonctionnelle ou géographique
Profilage
toute forme de traitement automatisé de données à caractère
personnel consistant à utiliser ces données à caractère
personnel pour évaluer certains aspects personnels relatifs
à une personne physique, notamment pour analyser ou
prédire des éléments concernant le rendement au travail, la
situation économique, la santé, les préférences personnelles, les
intérêts, la fiabilité, le comportement, la localisation ou les
déplacements de cette personne physique
Responsable du traitement
La personne physique ou morale, l'autorité publique, le
service ou un autre organisme qui, seul ou conjointement
avec d'autres, détermine les finalités et les moyens du
traitement.
13
3- Les principes
Principes liés à la qualité des données (art. 5) :
Traitement loyal, licite, transparent
Finalités déterminées, explicites et légitimes
Adéquates, pertinentes et nécessaires au regard des finalités =
principes de nécessité et de proportionnalité
Exactes et mises à jour
Garantir la sécurité appropriée des données
Durée liée à la finalité : question du droit à l’oubli
14
Principes liés à la licéité des données :
La personne concernée a consenti : condition principale
Définition consentement = toute manifestation de volonté,
libre, spécifique, éclairée et univoque par laquelle la personne
concernée accepte, par une déclaration ou par un acte positif
clair, que des données à caractère personnel la concernant
fassent l'objet d'un traitement (art. 4)
15
Renforcement du consentement (art. 7)
demande de consentement présentée sous une forme
compréhensible et aisément accessible, et formulée en des
termes clairs et simples
Connaissance du RT et des finalités
Pas de clauses abusives, ni déséquilibre manifeste
Doit pouvoir être retiré aussi facilement qu’il a été donné
Charge de la preuve sur le RT
16
17
A défaut de consentement, cas licites de
traitement (art. 6, 1-b à f) si nécessaire:
à l’exécution d’un contrat auquel est partie la personne
concernée ;
au respect d’une obligation légale incombant au responsable
du traitement ;
à la sauvegarde des intérêts vitaux de la personne concernée
ou d’une autre personne ;
à l’exécution d’une mission d’intérêt public, ou relevant de
l’exercice de l’autorité publique, dont est investi le
responsable du traitement ;
aux fins des intérêts légitimes poursuivis par ce responsable
ou un tiers.
18
Traitement des données sensibles
• Interdiction de traitement (art. 9, 1)
• + les données génétiques, ainsi que les données
biométriques « aux fins d’identifier une personne physique
de manière unique ».
• Nombreuses dérogations (art. 9 2):
• médecine préventive ou de la médecine du travail, de
l'appréciation de la capacité de travail du travailleur, de
diagnostics médicaux, de la prise en charge sanitaire ou
sociale, ou de la gestion des systèmes et des services de soins
de santé ou de protection sociale
• ….
19
Autres principes directeurs
Principes liés à la qualité des données (exactitude, …)
Finalités déterminées, explicites et légitimes - Principe de
minimisation des données
Durée liée à la finalité : question du droit à l’effacement
Garantir la sécurité appropriée des données
20
4- Les droits élargis des individus
Principe du consentement préalable
Le droit à l’information
Le droit d’accès et rectification
Le droit d’opposition / limitation du traitement
Le droit à l’effacement
Le droit à la portabilité des données
Conditions particulières pour le traitement des données des
enfants (-16 ans)
Introduction du principe des actions collectives / associations
actives dans le domaine
Décision individuelle automatisée (profilage)
21
Le droit à l’effacement (droit à l’oubli) art. 17
L’individu peut demander l'effacement de ses données
personnelles lorsque:
les données ne sont plus nécessaires au regard des finalités
il retire son consentement
il s’oppose au traitement
le traitement est illicite
le traitement permet le profilage
22
Exceptions si le traitement est nécessaire (art. 17, 3) :
à l’exercice du droit à la liberté d’expression et d’information ;
pour respecter une obligation légale ou exécuter une mission
de service public ;
pour des motifs d’intérêt public en matière sanitaire ;
pour des fins archivistiques, des fins de recherche scientifique
ou historique, ou des fins statistiques, si l’effacement des
données risque de rendre impossible ou de compromettre
gravement la réalisation des objectifs du traitement ;
pour la constatation, l’exercice ou la défense de droits en
justice.
23
5- Les obligations des acteurs
Nouvelle logique consistant à privilégier l’« autocontrôle » et
la responsabilisation: principe de responsabilité ou «
accountability »
Obligation d’administration de la conformité (compliance)
Mise en place de mesures
techniques et organisationnelles appropriées
D’où la création de nouvelles obligations:
Principe de responsabilité, protection dès la conception et par
défaut, et notification des violations de données
24
Liste des nouvelles obligations
Le principe d’accountability
Co-responsabilité des RT
La responsabilisation du sous-traitant
Le registre des activités de traitement
Les études d’impact sur la vie privée
Le privacy (by design/by default)
La notification des violations
Le délégué à la protection des données (DPO)
Les sanctions
25
Adoption de règles internes
Art. 24 et suivants: mise en œuvre des mesures techniques et
organisationnelles appropriées pour s'assurer et être en
mesure de démontrer que le traitement est effectué
conformément au présent règlement.
Mise en œuvre d’une politique appropriée de protection des
DP.
Peut se traduire par l’application d’un code de conduite
(art.40) ou des mécanismes de certification approuvés (art.
42)
26
Les nouveaux outils de conformité
la tenue d'un registre des activités de traitement (art. 30) ;
la notification de failles de sécurité aux autorités de contrôle
(art. 33) et aux personnes concernées (art. 34) ;
les analyses d'impact relatives à la protection des données
(art. 35) ;
la désignation d'un délégué à la protection des données (art.
37) ;
l'adhésion à des codes de conduite (art. 40) ;
la certification des traitements (art. 42).
27
Analyse d’impact(Data Protection Impact Assessment : DPIA ou Privacy Impact
Assessment: PIA)
Art. 35§1 : analyse préalable d’impact pour les traitements
présentant un risque élevé pour les droits et libertés des
personnes physiques
Analyse obligatoire
Consultation préalable de l'autorité de contrôle
28
Renforcement du principe de responsabilité
Privacy by design : protection des données dès la conception Art. 25§1
Exs: de moyens :
Pseudonymisation
Minimisation de la collecte des données
Chiffrement des données
...
Privacy by default: garantir que, par défaut, seules les
données à caractère personnel qui sont nécessaires au
regard de chaque finalité spécifique du traitement sont
traitées (art. 25§2)
29
Notification des violations de données personnelles
art. 33, 34
Obligation pour tous les RT de notifier les violations de
données personnelles à la CNIL dans les 72 heures
Information des personnes concernées si la violation est
susceptible d'engendrer un risque élevé pour leurs droits et
libertés
Le sous-traitant notifie au responsable du traitement toute
violation de données à caractère personnel dans les meilleurs
délais après en avoir pris connaissance
30
Le délégué à la protection des données (DPO)
art. 37
Obligatoire si :
Une autorité publique ou un organisme public qui traite des
données personnelles
Des traitements exigent, du fait de leur nature, de leur portée
et/ou de leur finalité, un suivi régulier et systématique à
grande échelle des personnes concernées
Traitement à grande échelle de catégories particulières de
données ou de données relatives à des condamnations
pénales ou à des infractions
31
Renforcement des sanctions
administratives
Jusqu’à 10 millions d’€ ou, dans le cas d’une entreprise, 2%
du CA annuel mondial pour des manquements /défaut de
protection des données dès la conception, de défaut de
sécurité, de défaut de notification de violation;
Jusqu’à 20 millions d’€ ou, dans le cas d’une entreprise, 4%
du CA annuel mondial en cas de non-respect des principes
encadrant tout traitement, pour manquement notamment aux
droits des personnes ou encore en cas de transfert des
données dans un Etat n’assurant pas un niveau de protection
des données suffisant
32
Transfert de données
Rappel de la problématique: US: Safe harbor et privacy shield
Principes (art. 44) :
Décision d’adéquation de la Commission européenne
A défaut, règles d’entreprises contraignantes (BCR : Binding
Corporate Rules)
Clauses types de protection adoptées par la Commission ou
par une autorité de contrôle
33
Conclusion
Des points positifs / protection des personnes physiques
Mais difficulté d’application:
Mise en place très délicate (et coûteuse?)
Problème de l’effectivité de la protection pour les opérateurs
hors UE
• Elément de compétition économique entre entreprises et
Etats
34