Post on 12-Sep-2018
8 décembre 2016
Nouvelle réglementation sur les données personnelles :
quelles conséquences pour votre entreprise ?
Conférence présentée par : Claudia WEBER, Avocat Associé
Eloïse URBAIN, Avocat
Maître Claudia WEBER, Avocat associé – claudia.weber@itlaw.fr
Fondatrice du Cabinet ITLAW Avocats, spécialisé dans les technologies del’information
Recommandé par LEGAL 500 depuis plusieurs années
Maître Eloïse URBAIN, Avocat – eloise.urbain@itlaw.fr
En charge du pôle «Informatique et Libertés » du Cabinet ITLAW Avocats
Chargée d’enseignement à l’Université de Versailles Saint-Quentin-en-Yvelines – Paris Saclay
INFORMATIQUEPROPRIÉTÉ
INTELLECTUELLEINTERNET & TÉLÉCOMS
DONNÉES À CARACTÈRE PERSONNEL
CYBER-CRIMINATLITÉ
Conseil
Formation
Médiation
Contentieux
INTRODUCTION
•Rappel du contexte et des textes relatifs aux données à caractère personnel en droit interne et en droit européen
•Le bilan de la transposition de la Directive de 1995 et le choix d’un texte plus contraignant et d’application directe
•Les étapes de l’élaboration du Règlement européen
QUELS SONT LES PRINCIPAUX APPORTS DU RÈGLEMENT EUROPÉEN À LA PROTECTION DES DONNÉES PERSONNELLES ET LEURS IMPACTS EN PRATIQUE ?
QUELLES SONT LES CONSEQUENCES POUR LES ENTREPRISES EN TERMES D’OBLIGATIONS ET DE RESPONSABILITE ?
QUEL PROCESSUS D’INCORPORATION EN DROIT FRANÇAIS ?
I.
II.
III.
IV.
1974 :
- Projet d’élaboration du fichier SAFARI rendu
public en mars 1974 par le journal Le Monde
- Projet de loi relatif à l’information et aux
libertés
1978 :
- Adoption de la Loi n°78-17 du 6 janvier
1978 relative à l’informatique, aux
fichiers et aux libertés (dite « Informatique et
Libertés »)
1995 :
- Harmonisation européenne avec la Directive 95/46/CE
du 24 octobre 1995 relative à la protection des
personnes physiques à l’égard du traitement des
données à caractère personnelle à la libre
circulation de ces données
=> Abrogée par le nouveau Règlement européen
2004 :
- Loi n°2004-801 du 6 août 2004, relative à la
protection des personnes physiques à l’égard des traitements de données à caractère
personnel -Transposition de la Directive en droit
français
2014 :
- Loi Hamon n°2014-344 du 17 mars 2014
relative à la consommation :
* Extension des pouvoirs de contrôle
de la CNIL aux contrôles en ligne
2016 :
- 27 avril 2016Adoption du Règlement
européen (RGPD)
- 7 octobre 2016: adoption de la Loi pour
une République numérique
2018 :
- Entrée en application du Règlement européen
=> 25 mai
Si on devait résumer le Règlement – propos de Madame Falque-Pierrotin (Présidente de la CNIL) :
« Il inaugure une nouvelle ère dans la régulation puisqu’il consacre un changement de paradigme : il s’agitd’alléger considérablement ce que nous appelons les formalités préalables – les déclarations etautorisations – au profit d’une démarche de responsabilisation des acteurs et d’un renforcement des droitsdes individus. »*
* Source : Audition de Madame Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés, par la Commission des lois constitutionnelles, de la législation et de l’administration générale de la République en date du 12 octobre 2016, compte rendu n°5.
•Adoption d’un projet de règlement européen par la Commission Européenne : le choix d’un texte d’application directe dans l’ensemble des Etats Membres afin de renforcer l’harmonisation
25 janvier
2012
• Adoption du projet par la Commission des libertés civiles du Parlement européen
21 octobre
2013 • Adoption du projet par le Parlement européen
12 mars 2014
• Le Comité LIBE du Parlement Européen, le COREPER (Comité de représentants du Conseil de l’UE) et la CE annoncent leur accord sur un
texte de « compromis solide »
15 décembre
2015 • Adoption du Règlement européen => Applicable à partir du 25 mai 2018 (abrogation de la Directive 95/46/CE)
25 mai 2018
Champ d’application territorial de la Loi Informatique et Libertés de 1978 (art. 5) :
◦ Etablissement du R.T
◦ Les Moyens sur le territoire de la France – (à défaut d’établissement en France ou en UE)
Champ d’application territorial du Règlement (art. 3) :
◦ Des activités d’un établissement d’un R.T ou d’un S.T sur le territoire de l’Union
◦ Au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire del’Union par une R.T ou un S.T qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :
À l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
◦ Au traitement de données à caractère personnel par un responsable de traitement qui n’est pas établi dans l’union maisdans un lieu où le droit d’un Etat membre s’applique en vertu du droit international public
La protection des données à caractère personnel est un enjeu de notreépoque, les données ont acquis une valeur marchande et les nouvellestechnologies ont favorisé cette valorisation
Le texte central en matière de protection des données à caractèrepersonnel est la Loi Informatique et Libertés du 6 janvier 1978
L’entrée en vigueur du Règlement européen marque un tournant majeurdans la régulation des données personnelles
Attention au champ d’application territorial du Règlement !
INTRODUCTION
QUELS SONT LES PRINCIPAUX APPORTS DU RÈGLEMENT EUROPÉEN À LA PROTECTION DES DONNÉES PERSONNELLES ET LEURS IMPACTS EN PRATIQUE ?
•Définitions•Principes et outils•Réévaluation des sanctions
QUELLES SONT LES CONSEQUENCES POUR LES ENTREPRISES EN TERMES D’OBLIGATIONS ET DE RESPONSABILITE ?
QUEL PROCESSUS D’INCORPORATION EN DROIT FRANÇAIS ?
I.
II.
III.
IV.
Le Règlement européen définit les principaux termes comme suit (article 4) :
◦ Données à caractère personnel :
toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputéeêtre une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment parréférence à un identifiant, tel qu’un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs élémentsspécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
◦ Profilage :
toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluercertains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement autravail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation, ou lesdéplacements de cette personne physique ;
◦ Pseudonymisation :
Le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précisesans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément etsoumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à unepersonne physique identifiée ou identifiable ;
Le Règlement définit certaines catégories de données sensibles :
◦ les données de santé :
« les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soinsde santé, qui révèlent des informations sur l’état de santé de cette personne. »
◦ les données génétiques :
« les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent desinformation uniques sur le physiologie ou l’état de santé de cette personne physique et qui en résultent, notamment, d’une analyse d’un échantillonbiologique de la personne en question. »
◦ les données biométriques :
« les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques oucomportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des donnéesdactyloscopiques.
Concernant le consentement
CONSENTEMENT
toute manifestation de
volonté, libre, spécifique, éclairée, et
univoque
par une déclaration ou par
un acte positif clair
Retrait à tout
momentPreuve
Dispositions
spécifiques
pour les
mineurs
(-16 ans)
S’agit-il de données à caractère personnel ?
S’agit il de données personnelles particulières ?
Raisons : - Pas de données- anonymisation
Légende :OUI
NON
CATEGORIES PARTICULIERES DE DONNEES
PAS DE CATEGORIES PARTICULIERES DE DONNEES
Analyse de l’adéquation des données + application du principe de minimisation
Inscription au registre = Mise en œuvre du
traitement
Pas d’inscription au registre possible
PRIVACY BY
DESIGN/ DEFAULT
REGISTRE
ANALYSE D’IMPACT
ACCOUNTABILITY
SECURITE CERTIFICATION ET
CODE DE CONDUITE
PIA
requis
Évaluation systématique et approfondie d’aspects personnels […] fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative
Le traitement à grande échelle de catégories particulières de données
La surveillance systématique à grande échelle d’une zone accessible au public.
+ liste à pourvoir par les autorités (CNIL)
Conte
nu description des opérations de
traitement envisagées et des
finalités
évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
évaluation des risques pour les droits et libertés des personnes concernées
mesures envisagées pour faire face aux risques, y compris les garanties
+ le DPO peut assister le R.T dans l’élaboration
Résult
ats
Absence de risques ou risques « résiduels » : le responsable n’est pas tenu de consulter une autorité afin de lui soumettre son PIA
Risques élevés persistants : le responsable doit consulter l’autorité compétente
+ A mettre à jour tout au long de la vie du traitement
ANALYSE D’IMPACT
Le traitement de données est-il visé par les cas de
l’art.35 ou ceux des autorités ?
PIA facultatif
PIA obligatoire : le traitement de données
comporte-t-il des risques ?
Consultation de l’autorité (CNIL) => avis favorable ou non (délai de 8 semaines)
Inscription au registre = Mise en œuvre du
traitement
Pas de mise en œuvre du traitement => constitue une violation du RGPD
Légende :OUI
NON
ANALYSE D’IMPACT
Privacy by design/ default
•Sur quelle base : état des connaissances ; coût ; nature, portée et contexte des finalités ;
•Pourquoi : risques pour les droits et libertés des personnes
•Quand : dès la conception au moment de la détermination des moyens
•Comment : mesures techniques et organisationnelles (ex : pseudonymisation,
minimisation, etc.)
Privacy by
design
•Sur quelle base : par défaut prévoir des mesures protectrices
•Pourquoi : garantir que seules les données nécessaires à la finalité sont traitées et que seules
les personnes habilitées ont accès
•Quand : dès la conception et tout au long de la durée du traitement
•Comment : mesures techniques et organisationnelles (ex : favoriser des menus déroulant à la
place de zones de commentaire, prévoir des mesures d’accès restreint, etc.)
Privacy by
default
Art. 25 du RGPD « Protection des données dès la conception et protection des données par défaut » :
Intérêt du PIA à ce stade
Registre
Pour les R.T
• « un registre des activités de traitement effectuées sous leur responsabilité »
Pour les S.T
• « un registre de toutes les catégories d’activités de traitement effectuées
pour le compte du responsable du traitement »
Art. 25 du RGPD : qu’est ce qu’un registre des activités d’un traitement ?
Date de mise en œuvre
Nom + coordonnées du R.T, du R.T.C et DPO
Finalité principale
Détails des finalités du traitement
Service chargé de la mise en œuvre
Catégories de personnes concernées par le traitement
Données traitées Catégories Durée Destinataire
Transfert hors UE + encadrement
Description générale des mesures de sécurité
Registre (version R.T)Comparaison avec le
registre du CIL :
Les nouvelles mentions issues du RGPD
Les mentions non reprises du registre du CIL
Date de mise en œuvre
Nom + coordonnées du ou des S.T, du ou des R.T. et DPO
Catégories de traitement effectués pour chaque R.T
Transfert hors UE + encadrement
Description générale des mesures de sécurité
Registre (version S.T)
Nouveauté du RGPD :Le S.T doit lui aussi répertorier en plus de ses traitements ceux de ses clients !!
Sécurité, certification
et code conduite
• pseudonymisation
• anonymisation
• chiffrement des données
• etc.
Mesures visant à la confidentialité,
l’intégrité, la disponibilité des
données
• élaborés par des organismes certificateurs ou par les acteurs représentatifs d’un secteur d’activité en particulier
• sont soumis/contrôlés par les autorités de protection (CNIL)
• font naître une présomption de conformité
Certifications, codes de conduite
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administrativesimportantes en cas de méconnaissance des dispositions du Règlement.
Les autorités peuvent notamment :
◦ Prononcer un avertissement
◦ Mettre en demeure l’entreprise
◦ Limiter temporairement ou définitivement un traitement
◦ Suspendre un flux de données…
Nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut :
◦ Retirer la certification délivrée
◦ Ordonner à l’organisme de certification de retirer la certification
Les Sanctions financières (amendes administratives)
Les manquements
10 millions ou 2% du CA mondial
aux principes applicables au consentement des mineurs aux dispositions relatives au sous-traitant aux notifications de failles de sécurité aux principes du « privacy by design » ou « privacy by default » aux certifications aux obligations des organismes chargé du suivi des codes de conduite
20 millions ou 4% du CA mondial
aux principes de licéité, consentement et principes applicables auxdonnées particulières
aux droits dont bénéficient les personnes concernées aux dispositions relatives à la liberté d’expression et d’information aux non respect d’une injonction de limitation (temporaire ou
définitive) ou de suspension du traitement ordonnée par la CNIL
MISE EN ŒUVRE DU TRAITEMENT
Inscription au registre
Consentement ?
Oui acte positif à démontrer
Non exécution d’un contrat/ respect obligation légale/ sauvegarde des intérêts vitaux
/ mission d’intérêt public / intérêt légitime
Information de la personne concernée
Mentions de la Loi de 78 (avant Loi pour une République numérique)
Nouvelles mentions : durée, réclamation CNIL, mesures de sécurité
Principe de transparence
Droits de la personne concernée
Accès, rectification (dans le délai d’un mois)
Effacement et limitation
Portabilité
PIA ?
Renforcement des droits de la personne et de la protection des données
◦ consécration de définition et de principes
◦ nouveaux outils de mise en conformité à l’initiative des entreprises
◦ des sanctions très dissuasives (et ce même pour les géants du net !!)
INTRODUCTION
QUELS SONT LES PRINCIPAUX APPORTS DU RÈGLEMENT EUROPÉEN À LA PROTECTION DES DONNÉES PERSONNELLES ET LEURS IMPACTS EN PRATIQUE ?
QUELLES SONT LES CONSEQUENCES POUR LES ENTREPRISES EN TERMES D’OBLIGATIONS ET DE RESPONSABILITE ?
•Les obligations du responsable de traitement, du responsable conjoint et du sous-traitant
•La mise en œuvre du traitement
•Les incidences sur la responsabilité
•CIL vs DPO
QUEL PROCESSUS D’INCORPORATION EN DROIT FRANÇAIS ?
I.
II.
III.
IV.
Déclaration/
autorisation
Respect de la finalité
(explicite et légitime) et
de la durée de
conservation
Sécurité (confidentialité
et intégrité)
Collecte licite et loyale (consentement,
information…)
Droits des personnes
concernées (accès,
rectification, opposition,
efface)
Transfert des données (clause contractuelle
type, BCR)
(Loi Informatique et Libertés)
Désignation d’un DPO ?
Certification / Code de conduite
Privacy by design/pydefault
Analyse d’impact et consultation préalable
Registre
Respect de la finalité (explicite et légitime)
et de la durée de conservation
Sécurité (confidentialité et
intégrité)
Collecte licite, loyale et transparente
(consentement, information…)
Notification et informations des
personnes concernées des violations de
données personnelles
Droit des personnes concernées (accès,
rectification, opposition, effacement et portabilité
des données)
(RGPD)
Consécration du régime de responsabilité conjointe dans le traitement – article 26
◦ Lorsque deux responsables de traitement déterminent ensemble les finalités et les moyens dutraitement => ils sont responsables conjointement
◦ Les deux responsables déterminent leurs obligations respectives de manière transparente, et par voied’accord CONTRAT A PREVOIR !
◦ L’accord doit refléter le rôle respectif de chacun des responsables de traitement
◦ Les grandes lignes de cet accord doivent également être mises à la disposition de la personneconcernée
◦ La personne concernée peut faire valoir ses droits auprès de chacun des responsables,indépendamment de leurs rôles respectifs !!
Sous l’égide de la loi de 1978, quand le responsable detraitement fait appel à un sous-traitant (article 35) :◦ Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et
de confidentialité mentionnées à l’article 34 de la Loi I&L
◦ Cette exigence ne décharge pas pour autant pas le responsable de traitement de son obligation de veiller aurespect de ces mesures
◦ Le contrat entre le responsable de traitement et son sous-traitant doit prévoir la mise en œuvre des mêmesobligations de sécurité et de confidentialité des données. Dans tous les cas, le sous-traitant ne pouvait agir quesur instruction du responsable de traitement
Sous l’égide du Règlement européen :
◦ Le sous-traitant est tenu de respecter les mêmes obligations spécifiques en matière de sécurité, deconfidentialité et en matière d’accountability que le responsable de traitement
◦ Il a notamment une obligation de conseil auprès du responsable de traitement pour la conformité àcertaines obligations sur le Règlement :
analyse d’impact - PIA (Privacy Impact Assessment)
failles de sécurité
destruction des données
contribution aux audits
◦ Il est tenu de maintenir un registre, voire de désigner un DPO dans les mêmes conditions qu’unresponsable de traitement
Désignation d’un DPO ?
Garanties suffisantes (présomption avec la
certification et les codes de conduite)
Recrutement du sous-traitant ultérieur => accord du R.T
Registre des traitements effectués pour les R.T
Sécurité (confidentialité, intégrité, disponibilité et résilience des systèmes)
Coopération avec les autorités de protection des données
Notification au R.T des violations de données
personnelles
Obligations contractuelles prévues à l’article 28 du
Règlement : assiste le R.T
(RGPD)
Responsable du
traitement
•Détermine les finalités et les moyens du traitement
•Porte la responsabilité légale du traitement évolution avec le Règlement renforcement des
obligations du sous-traitant
Responsable
conjoint (RGPD)
•Détermine conjointement avec un autre les finalités et les moyens
•Les obligations de chaque R.T.C sont prévues dans un contrat
•Responsabilité solidaire vis-à-vis des personnes concernées
Sous-traitant
•Agit sur instruction et pour le compte du R.T.
•Respect des instructions et du Règlement pour s’exonérer de sa responsabilité
Le Règlement européen vise à :
◦ responsabiliser les acteurs des traitements des données
◦ uniformiser les obligations pesant sur les responsables de traitement et les sous-traitants
Le sous-traitant est désormais davantage impliqué dans la protection des données.
=> Quelles incidences pour leur responsabilité vis-à-vis de la personne concernée ?
PERSONNE CONCERNEE
Responsable de traitement
Responsable de traitement conjoint
Sous-traitant
Solidarité du R.T, R.T.C et du S.T ce qui implique :- Droit d’action au choix de la personne concernée - Possibilité ensuite d’exercice d’une action récursoire
CIL DPO
Désignation facultative / obligatoire ?
Facultative
Obligatoire dans les cas suivants :
- Le traitement est effectué par une autorité publique ou un organisme public
- Les activités de base du R.T ou du S.T consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier systématique à grande échelle des personnes concernées ;
- Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10
Qui ? Compétences juridiques / techniques Compétences juridiques / techniques
Périmètre de désignation ?
Désignation partielle / générale / étendueAucune spécification
Mission
Veille à la conformité avec la loi Informatique et Libertés Gestion des traitements de données personnelles :
- Tenue du registre des traitement,- formalités, échanges avec la CNIL (service dédié),- voire chargé de l’exercice des droits des personnes
Bilan annuel Diffusion d’une culture « Informatique et Libertés »
- informer et conseiller le responsable de traitement ou le sous-traitant sur les obligations qui lui incombent en matière de protection des données ;
- contrôler le respect de la législation applicable en matière de protection des données et des règles internes du R.T ou du S.T ;
- dispenser des conseils sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
- coopérer avec l’autorité de contrôle ;
- faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations.
Renforcement de la responsabilité des acteurs : responsable et sous-traitant => le sous-traitant rattrapé par la loi !
Responsabilisation dans la mise en conformité : le responsable prend lerisque de l’évaluation des risques (PIA, accountability, privacy by design)
Anticiper dès maintenant sur la désignation obligatoire du DPO
Afin d’anticiper sur l’application du RGPD et mener à bien votre mise en conformité, nous vous recommandons de :
◦ faire un état des lieux des traitements de données, pour :
vérifier la base juridique de vos traitements (consentement ou autre), leur finalité, leur contenu (minimisation), les mesures de sécurité), etc. ;
vérifier votre qualification (R.T, R.T.C, S.T) et de revoir les contrats en conséquence ainsi qu’au regard du RGPD ;
préparer votre registre ;
préparer votre modèle de PIA et le tester sur les prochains traitements à risque ;
◦ renouveler et rediffuser vos mentions d’information à l’attention des personnes concernées en :
intégrant les nouvelles mentions obligatoires
vérifiant la clarté de ces mentions ;
◦ relancer la sensibilisation interne et mettre en place des politiques / mécanismes de gestion des réclamations et des plaintes afind’anticiper les risques de dépassement de délais ou de recours juridictionnels ;
◦ surveiller la mise en place des certifications, codes conduite et autres lignes directrices de la CNIL
INTRODUCTION
QUELS SONT LES PRINCIPAUX APPORTS DU RÈGLEMENT EUROPÉEN À LA PROTECTION DES DONNÉES PERSONNELLES ET LEURS IMPACTS EN PRATIQUE ?
QUELLES SONT LES CONSEQUENCES POUR LES ENTREPRISES EN TERMES D’OBLIGATIONS ET DE RESPONSABILITE ?
QUEL PROCESSUS D’INCORPORATION EN DROIT FRANÇAIS ?
• L’incorporation du RGPD en droit français
• Les incidences et l’articulation entre les textes nationaux et la Loi I&L
I.
II.
III.
IV.
L’entrée en vigueur le 25 mai 2018 du Règlement inclut :
◦ L’abrogation de la Directive 95/46/CE du 2 octobre 1995
◦ Intégration directe en droit français sans qu’il soit nécessaire d’adopter une loi nationale :
Article 288 (ex-article 249 TCE) du traité sur le fonctionnement de l’UE : Pour exercer les compétences de l'Union,les institutions adoptent des règlements, des directives, des décisions, des recommandations et des avis. Lerèglement a une portée générale. Il est obligatoire dans tous ses éléments et il est directement applicable danstout État membre. La directive lie tout État membre destinataire quant au résultat à atteindre, tout en laissant auxinstances nationales la compétence quant à la forme et aux moyens. La décision est obligatoire dans tous seséléments. Lorsqu'elle désigne des destinataires, elle n'est obligatoire que pour ceux-ci. Les recommandations et lesavis ne lient pas.
confirmé par La Cour de justice de l’Union européenne dans l’arrêt Politi du 14 décembre 1971 (Politi s.a.s. contreministère des finances de la République italienne. Demande de décision préjudicielle : Tribunale civile e penale diTorino - Italie. Affaire 43-71.) : effet direct et complet
L’entrée en vigueur le 25 mai 2018 du Règlement suppose une articulation avec la Loi I&L :
◦ Abrogation des dispositions de la loi qui sont prévues par le Règlement européen
◦ Intégration de nouvelles dispositions suite au Règlement :
nouvelles procédures pour l’émission et le prononcé de sanctions communes aux autorités ;
Les régimes dérogatoires : secteur régalien, santé, etc.
=> et le « toilettage de la loi Informatique et Libertés » ne concerne pas uniquement le Règlement…destextes au niveau national ont été adoptés ces derniers temps lesquels ont des conséquences sur la loiInformatique et Libertés dont certaines dispositions anticipent sur l’application du Règlement européen ou lecomplètent.
Loi n°2016-1321 du 7 octobre 2016 pour une République Numérique, quels sont les principaux apports enmatière de données personnelles (liste non exhaustive) :
◦ Principe d’autodétermination informationnelle :
modification de l’article 1er de la loi de 1978 (une première)
ajout de la disposition suivante : « Toute personne dispose du droit de décider et de contrôle les usages qui sont faits des données à caractèrepersonnel la concernant, dans les conditions fixées par la présente loi. »
◦ Concernant les mineurs :
Droit pour le mineur de 15 ans et plus de s’opposer à l’accès à ses données dans le cadre de recherche médicale
Droit à l’oubli spécifique aux mineurs avec une procédure accélérée
◦ Ce qu’il advient des données de la personne concernée après sa mort :
Fin du droit d’accès des ayants droits par principe (exceptions : organisation et règlement de la succession ; pour la prise en compte du décès par leresponsable du traitement => clôture des comptes) [NB : en cas de conflit entre héritiers compétence du TGI]
Définition de directives générales (de manière générale - à enregistrer auprès d’un tiers de confiance certifié par la CNIL) et particulières (par chaqueresponsable de traitement)
Loi n°2016-1321 du 7 octobre 2016 pour une République Numérique, quels sont les principaux apports en matière dedonnées personnelles :
◦ Information des personnes concernées
ajout d’une nouvelle mention à prévoir (l’article 32) de la durée de conservation => anticipation sur le règlement européen
◦ Open data :
mise à disposition des documents - sous réserve de l’anonymisation des données [NB : la CNIL doit présenter les méthodologies d’anonymisation à cetitre => article 11 nouveau 2° g).]
◦ Portabilité des données :
principe de récupération des données (gratuite) :
soit par le consommateur, soit par un autre prestataire à la demande du consommateur ;
une fonctionnalité permettant « au consommateur de récupérer, par une requête unique, l’ensemble des fichiers ou données concernés. Le fournisseur prend toutes lesmesures nécessaires à cette fin, en termes d’interface de programmation et de transmission des informations nécessaires au changement de fournisseur » ;
obligation des fournisseurs de services de communications au public en ligne ;
exception : données ayant fait l’objet d’un enrichissement significatif => quid de la notion d’enrichissement significatif ?
Loi n°2016-1321 du 7 octobre 2016 pour une République Numérique, quels sont les principaux apports enmatière de données personnelles :
◦ Concernant les pouvoirs de la CNIL :
Modification de l’article 11 de la Loi de 1978 sur les missions de la CNIL :
2° g) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification de la conformité à la présente loi de processus d'anonymisationdes données à caractère personnel, notamment en vue de la réutilisation d'informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relationsentre le public et l'administration.
4° a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de tellesdonnées. L'avis de la commission sur un projet de loi est rendu public. Outre les cas prévus aux articles 26 et 27, lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après avis de lacommission, cet avis est publié avec le décret ou l'arrêté ;
e) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l'évolution des technologies numériques ;
f) Elle promeut, dans le cadre de ses missions, l'utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données.
Augmentation du plafond des sanctions (article 47 de la Loi de 1978) -> Jusqu’à 3 millions d’euros
Le montant de la sanction pécuniaire prévue au I de l'article 45 est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de laCommission nationale de l'informatique et des libertés prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable dutraitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d'atténuer ses effets négatifséventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission.
Loi n°2016-41 du 16 janvier 2016 de modernisation de notre système desanté (liste non exhaustive) :
◦ Création d’un droit à l’oubli : pour les anciens malades de cancer (lorsque la fin du protocole remonte àplus de 5 ans)
◦ Ouverture de l’accès aux données de santé -> favoriser l’innovation et la proposition de nouveaux services
◦ Relance du dossier médical partagé (DMP)
◦ Modification du chapitre IX de la Loi Informatique et Libertés de 1978 :
Article 53 : Les traitements automatisés de données à caractère personnel ayant pour finalité la recherche ou lesétudes dans le domaine de la santé ainsi que l'évaluation ou l'analyse des pratiques ou des activités de soins oude prévention sont soumis à la présente loi, à l'exception des articles 23 et 24, du I de l'article 25 et des articles26,32 et 38.
En attendant l’application du Règlement européen et le toilettage de la Loide 1978, il convient de :
◦ anticiper sur la mise en conformité avec le Règlement européen ;
◦ tenir compte des apports de la Loi pour une République numérique, notamment ausein de la loi de 1978, dans la mesure où certains continueront de s’appliquer aprèsmai 2018 ;
Merci de votre attention
Vous pouvez nous contacter :
281, rue de Vaugirard - 75015 Paris
Tél. : +33(0)1.45.30.54.25
Mob. : +33(0)6.13.24.58.44
claudia.weber@itlaw.fr
http://www.itlaw.fr