Claire BERNIER

La réglementation des données utilisateurs

La loi du 6 janvier 1978 institue la CNIL, autorité administrative indépendante, et pose les grands principes s’appliquant à l’informatique et aux fichiers afin de veiller à ce qu’ils soient au service du citoyen et ne portent atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

La loi du 6 août 2004 : une refonte de la loi de 1978

les grands principes restent inchangés (L. 6 janvier 1978)

un renforcement des droits des personnes

un allègement des formalités déclaratives :

o augmentation du nombre de normes simplifiées, formulaires pour les déclarations normales allégées

o suppression des formalités de déclaration par la mise en place d’un correspondant à la protection des données au sein des entreprises

un renforcement du contrôle de la CNIL pour certains traitements (autorisation / autorisation unique)

de nouveaux pouvoirs coercitifs et de sanction

d’une politique d’information en 1978 à une politique de contrôle et de sanction en 2004.

2

Préliminaire

Fichiers : tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés

Traitement : toute opération de collecte, enregistrement, organisation, conservation, adaptation ou modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement, interconnexion, verrouillage, effacement, destruction

Concerne les fichiers automatisés et manuels

3

Qu’est-ce qu’un fichier / traitement de données ?

toute information relative à une personne physique

identifiée ou susceptible de l’être, directement ou indirectement

données virtuelles (profil -avatar- lié au compte réel)

par référence à un numéro d’identification (ex : numéro de sécurité sociale, numéro de téléphone) ou un ou plusieurs éléments qui leur sont propres (ex : biométrie génétique)

le cas particulier des données dites « sensibles » (origines sociales ou ethniques, opinions politiques, philosophiques ou religieuses ou appartenance syndicale des personnes, relatives à la santé ou à la vie sexuelle) : interdiction de les collecter ou de les traiter (article 8), sauf exceptions (consentement, intérêt public)

le cas particulier des données d’infractions, de condamnation, de mesure de sûreté : interdiction de les collecter ou de les traiter sauf exceptions (juridictions, autorisations)

Encadrer la traçabilité et protéger la vie privée

4

Qu’est-ce que des données à caractère personnel ?

5

Qu’est-ce qu’un responsable de traitement sujet à la loi Informatique et Libertés ?

L’autorité, l’organisme, le service qui détermine les finalités du traitement et qui donne les moyens nécessaires à sa mise en œuvre

Établi sur le territoire français (installation stable, quelle que soit sa forme juridique, filiale, succursale)

ou

Recours à des moyens de traitement situés sur le territoire français (à l’exclusion de traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un État membre de la Communauté européenne)

Les traitements de données à caractère personnel « font l’objet d’une déclaration auprès de la CNIL »

Les déclarations ordinaires

Les déclarations simplifiées (55 normes simplifiées)

Les demandes d’autorisations

Les autorisations uniques (26 autorisations uniques)

Les demandes d’avis sur les fichiers sensibles du secteur public (une surveillance de la CNIL)

Délai : la CNIL dispose d’un délai de 2 mois éventuellement renouvelable une fois, pour rendre son autorisation. A l’expiration du délai, la demande d’autorisation est réputée rejetée si la CNIL ne s’est pas prononcée dans l’intervalle.

En 2012 :

48 833 déclarations simplifiées de fichiers traitées par la CNIL – 316 autorisations données

6

Comment déclarer un traitement de données à caractère personnel ?

Comment mettre en œuvre la loi « informatique et libertés » dans la vie des affaires ?

Collecte des données : loyale et licite (Cass. 14 mars 2006) pour une finalité précise

Proportionnalité et pertinence des données (données adéquates et non excessives) et mise à jour si nécessaire à la finalité (données exactes et complètes)

Ex: si l’application développée porte sur un jeu de type « quizz », les numéros de téléphones du carnet d’adresse du propriétaire de Smartphone n’ont pas à être collectés

Obligation de déclaration préalable auprès de la CNIL

Mise en œuvre du traitement

Consentement de la personne (ou respect d’une obligation légale ou sauvegarde de la vie de la personne concernée) ou exécution d’une mission de service public ou exécution soit d’un contrat soit de mesures précontractuelles ou réalisation de l’intérêt légitime

Destinataires identifiés expressément

Conservation limitée des données

Sécurité des données

Respect des droits des personnes (droit d’information, d’accès, de modification et d’opposition)

7

8

Règles de sécurité des données Obligations de sécurité et de confidentialité « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des

risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient

déformées, endommagées, ou que des tiers non autorisés y aient accès » (article 34 loi Informatique et libertés)

De nombreuses règles sont à respecter pour que les données soit en sécurité :

politique de mot de passe rigoureuse

Identifier précisément qui peut avoir accès aux fichiers

mise en place d’une procédure de création et de suppression des comptes utilisateurs (but : éviter

l’accès aux données d’une personne qui ne serait plus dans le service concerné par les traitements)

Sécuriser les postes de travail : verrouillage automatique, verrouillage manuel systématique des

employés

Sécuriser le réseau local contre les attaques extérieures

Sécuriser l’accès physique aux locaux

Anticiper le risque de perte ou de divulgation des données

Mettre en place une politique de sécurité des systèmes informatiques, accessible aux salariés

Mettre en place une politique d’archivage électronique

Sensibiliser les utilisateurs aux risques informatiques concernant les données personnelles

Veiller à la confidentialité des donnés vis-à-vis des prestataires et sous traitants

NB: les autorités de protection des données personnelles privilégient l’intégration de la protection de la

vie privée directement dans la conception et le fonctionnement des systèmes (Privacy by Design)

Quelles questions se poser avant la création d’un fichier ?

Identifier les traitements, leur finalité, la durée de conservation des données

Compléter le formulaire standard de déclaration CNIL

Anticiper, autant que faire se peut, les futures « nouvelles » finalités et les évolutions techniques ou technologiques

Faire valider les informations contenues dans le formulaire (i) par les opérationnels en charge du traitement/fichier, (ii) par le service informatique et (iii) par le service juridique ou le conseil (avocat)

Effectuer la déclaration auprès de la CNIL (ou la faire exécuter par la voie d’un Conseil)

Conserver une copie de toutes les déclarations et les classer/archiver dans un seul endroit (classeur, etc.). Une solution pratique : les scanner et les classer dans un fichier numérique

Régulièrement, s’assurer de la mise à jour des déclarations

Ne pas hésiter à solliciter les conseils et l’assistance du Conseil habituel de la société en la matière.

9

Méthodologie de la création d’un fichier

Contrôle de la mise en œuvre des traitements par la CNIL

A – Instruction des plaintes

Procédure : 1. recueil d’observations du responsable 2. phase contradictoire 3. transmission aux services de contrôle (4 sections) 4. réponse avec les procédures de modification proposées en cas de faute ou d’erreur

Plainte en ligne depuis le 14 juin 2010 accessible via cnil.fr

En 2012 : 6017 plaintes reçues (chiffre le plus élevé jamais enregistré par la CNIL). Intérêt de plus en plus marqué des personnes pour la protection de leurs données et de la sensibilité de cette question à l'ère du numérique(44% des plaintes ont été reçues via cnil.fr en 2012).

B – Contrôles sur place

Accès de 6h à 21h aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement (information préalable du Procureur territorialement compétent mais pas du responsable du traitement)

Obligation de collaboration à la charge du responsable de traitement. En cas d’opposition du responsable des lieux : possibilité d’obtenir une autorisation du président du TGI territorialement compétent par voie d’ordonnance sur requête (non contradictoire)

Communication, copie, « saisie » sur place de tous documents, accès aux programmes informatiques et aux données

Assistance d’experts

10

11

Quelles sont les sanctions du non respect de la loi informatique et libertés ?

Des sanctions graduelles

Formalités, données sensibles, droits

des personnes, flux transfrontières, données

interdites, vie privée

La notifications des violations de données personnelles : une nouvelle mission

Transposition en droit français d’une directive européenne : nouvel article 34 Bis de la loi « Informatique et Libertés » du 6 janvier 1978 transposé en droit français par l’ordonnance du 24 août 2011 (Décret d’application n°2012-436 du 30 mars 2012) Obligation pour les fournisseurs de services de communications électroniques (les opérateurs devant être déclarés auprès de l’ARCEP) [dans le cadre de son activité de fourniture de services de communications électroniques ouverts au public] de notifier les violations de données à caractère personnel aux autorités nationales compétentes, et dans certains cas, aux personnes concernées. ]

Notification à la CNIL o Quand ? Dans tous les cas de « violation de données personnelles » quel que soit leur degré de gravité (data security breach), c’est-à-dire « toute

violation de sécurité entrainant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, ou l’accès non autorisé à des données personnelles ». La notification est effectuée sans délai. La CNIL dispose de deux mois pour se prononcer

o Quoi ? Le responsable de traitement doit notifier à la CNIL, par lettre recommandée avec accusé de réception : la nature et les conséquences de la violation, les mesures déjà prises ou proposées pour remédier à la violation, l’identification et les coordonnées des personnes auprès desquelles des informations supplémentaires peuvent être obtenues, si possible, une estimation du nombre de personnes susceptibles d’être concernées par la violation.

Notification aux personnes concernées en cas de risque d’atteinte aux données à caractère personnel ou à la vie privée o Quand? Dans tous les cas où la violation peut porter « atteinte aux données à caractère personnel ou à la vie privée » de l’abonné ou de tout autre

personne. La notification est effectuée sans délai, ou lorsqu’elle est imposée par la CNIL (injonction de la CNIL), dans un délai fixe qui ne peut excéder 1 mois.

o Quoi ? Le responsable de traitement doit notifier aux personnes concernées, par tout moyen permettant d’apporter la preuve de l’accomplissement de cette formalité: (i) la nature de la violation, (ii) l’identification et les coordonnées des personnes auprès desquelles des informations supplémentaires peuvent être obtenues, (iii) les mesures recommandées pour atténuer les conséquences négatives de la violation.

Réflexion actuelle sur l’extension de l’obligation à tous les secteurs (considérant 59 de la Directive 2009/136/CE ; article 31 projet de Règlement sur la protection des données personnelles; article 14 proposition de Directive sur la sécurité des réseaux et de l’information); Projet de Directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union du 7 février 2013

L’article 226-17-1 Code Pénal sanctionne le défaut de notification par 5 ans d'emprisonnement et de 300 000 € d'amende

12

Le transfert de données Hors UE

Le principe

Pas de transfert si l’État n’assure pas un niveau de protection suffisant. «Pays équivalent»,« Pays adéquat », « Pays non adéquat »

Les exceptions :

o l’existence de clauses contractuelles ou de règles internes reconnues par la CNIL o interprétation stricte des exceptions de l’article 69 (consentement exprès, exécution

d’un contrat, sauvegarde de la vie de la personne…) Quid du Cloud ?

Vers un pays non reconnu comme adéquat Plusieurs possibilités s’offrent à l’entreprise :

Les BCR (règles internes d’entreprises) Les clauses contractuelles types Les systèmes régionaux (exemple des Safe harbor) La standardisation : les normes ISO

13

Les recommandations du G29 sur les applications mobiles

Dans un avis publié le 14 mars 2013, le groupe des CNIL européennes (G29) a formulé des recommandations à l'égard des 4 grandes catégories d'acteurs impliqués dans l'écosystème des Smartphones :

les développeurs d'applications,

les fournisseurs de système d'exploitation et les fabricants de terminaux mobiles,

les magasins d'applications

les tiers (comme les régies publicitaires ou les opérateurs de télécommunications)

Ces recommandations portent en particulier sur : La nécessaire limitation des données traitées dans le cadre de l'utilisation de Smartphones : minimisation des

données collectées (seules les données nécessaires au fonctionnement de l'application doivent être recueillies)

L'impératif de transparence à l'égard des utilisateurs : pour ce faire, de véritables privacy policies doivent être élaborées par les développeurs d'application, des standards (en particulier de sécurité et de règles d'accès aux données) et des règles simples d'utilisation doivent être proposés

L'amélioration de la maîtrise des informations par les utilisateurs : leur consentement exprès doit être recueilli avant tout téléchargement d'une application, de même qu'avant toute modification substantielle de ses conditions de mise en œuvre

L'attention réservée à certaines informations : la collecte de données " sensibles ", financières ou permettant d'établir le profil social d'une personne devra donner lieu à une réflexion approfondie sur le respect des droits fondamentaux de la personne concernée et à une information spécifique

La CNIL va s'attacher, en concertation avec les acteurs concernés, à rendre ces recommandations opérationnelles et effectives.

14

15

Contacts

Claire BERNIER

Avocat Associé LD : 01 79 97 92 79

Fax : 01 79 97 97 69

cbernier@altanalaw.com